Utilización de cookies propias técnicas
Este sitio web utiliza Cookies propias para recopilar información con la finalidad técnica, no se recaban ni ceden sus datos de carácter personal sin su consentimiento.
Asimismo, se informa que este sitio web dispone de enlaces a sitios web de terceros con políticas de privacidad ajenas a SONIA PEREA MARTINEZ
Utilización de cookies propias y de terceros técnicas
Este sitio web utiliza Cookies propias y de terceros para recopilar información con la finalidad técnica, no se recaban ni ceden sus datos de carácter personal sin su consentimiento.
Asimismo, se informa que este sitio web dispone de enlaces a sitios web de terceros con políticas de privacidad ajenas a SONIA PEREA MARTINEZ.
Utilización de cookies propias y de publicidad comportamental
| Necesarias por motivos técnicos | þ | Publicidad | ¨ |
Utilización de cookies propias, terceros y de publicidad comportamental
| Necesarias por motivos técnicos | þ | Publicidad | ¨ |
Utilización de cookies propias, terceros, publicidad y análisis
| Necesarias por motivos técnicos | þ | Publicidad | ¨ |
| Análisis | ¨ |
Utilización de cookies propias técnicas y de análisis
| Necesarias por motivos técnicos | þ | Análisis | ¨ |
Utilización de cookies propias, terceros, técnicas y de análisis
| Necesarias por motivos técnicos | þ | Análisis | ¨ |
Utilización de cookies propias, terceros y de análisis, dirigidas a usuarios menores de 14 años
PANEL DE CONFIGURACIÓN
Cuando se pulse Configuración personalizada o AQUÍ, se deberá insertar un link que se dirija a un panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular:
SONIA PEREA MARTINEZ informa al usuario de que tiene la posibilidad de configurar sus preferencias en referencia a la instalación de cookies:
Utilización de cookies propias de publicidad comportamental o utilización de cookies propias y de terceros de publicidad comportamental
| Técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan. |
Aceptar |
Rechazar |
| Publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de
navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. |
Aceptar |
Rechazar |
Utilización de cookies propias de análisis o utilización de cookies propias y de terceros de análisis
| Técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan. |
Aceptar |
Rechazar |
| Analíticas: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. |
Aceptar |
Rechazar |
Utilización de cookies propias, terceros de análisis y publicidad comportamental
| Técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan. |
Aceptar |
Rechazar |
| Analíticas: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. |
Aceptar |
Rechazar |
| Publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de
navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. |
Aceptar |
Rechazar |
Al pulsar “ACEPTAR TODO” se aceptará la instalación de todas las cookies y al pulsar “RECHAZAR TODO” se rechazarán todas las cookies.
Al pulsar “GUARDAR CONFIGURACIÓN”, se guardará la selección de cookies que el usuario haya realizado. Si no se ha seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies.
Por último, recuerde que debe actualizar la tabla del documento Política de cookies, indicando las Cookies que su página web instala con la navegación por parte del usuario.
3.6.1. Política de cookies
SONIA PEREA MARTINEZ deberá facilitar a los usuarios información clara y completa sobre la utilización de cookies y, en particular, sobre los fines del tratamiento de los datos.
En la política de cookies se deberá facilitar al usuario la siguiente información:
- Definición y función genérica de las
- Información sobre el tipo de cookies que se utilizan y su
- Identificación de quien utiliza las
- Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies.
- En su caso, información sobre las transferencias de datos a terceros países realizadas por el
- En caso de que sea oportuno, informar sobre la elaboración de
- Periodo de conservación de los datos personales o criterios utilizados para determinar el plazo de conservación.
A continuación SONIA PEREA MARTINEZ, establece la política de cookies la cual deberá estar accesible para los usuarios de la página web:
POLÍTICA DE COOKIES
Conforme a lo dispuesto en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) vigente, SONIA PEREA MARTINEZ debe cumplir con la obligación de informar sobre las cookies que utiliza y sus finalidades.
Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un Usuario o de su equipo y, dependiendo de la información que contenga y de la forma en que utilice su equipo, pueden utilizarse para reconocer al Usuario.
Las cookies son esenciales para el funcionamiento de internet, aportando innumerables ventajas en la prestación de servicios interactivos, facilitándole al Usuario la navegación y usabilidad de nuestra web.
El usuario puede modificar la configuración personalizada AQUÍ.
La información que le proporcionamos a continuación le ayudará a comprender los diferentes tipos de cookies:
|
TIPOS DE COOKIES |
||
|
SEGÚN LA ENTIDAD QUE LAS GESTIONE |
COOKIES PROPIAS |
Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario |
|
COOKIES DE TERCERO |
Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies. | |
|
SEGÚN EL PLAZO DE TIEMPO QUE PERMANEZCAN ACTIVADAS |
COOKIES DE SESIÓN |
Son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión |
|
COOKIES PERSISTENTES |
Son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años. | |
|
SEGÚN SU FINALIDAD |
COOKIES TÉCNICAS |
Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan |
|
COOKIES DE PERSONALIZACIÓN |
Permiten aplicar características propias para la navegación del usuario por el website (Ej. idioma). | |
|
COOKIES DE ANÁLISIS |
Son aquellas que permiten al responsable de estas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están | |
| vinculadas, incluida la cuantificación de los | ||
| impactos de los anuncios. La información recogida | ||
| mediante este tipo de cookies se utiliza en la | ||
| medición de la actividad de los sitios web, | ||
| aplicación o plataforma, con el fin de introducir | ||
| mejoras en función del análisis de los datos de | ||
| uso que hacen los usuarios del servicio. | ||
| Permiten al editor incluir en la página web | ||
| COOKIES PUBLICITARIAS | espacios publicitarios, según el contenido de la | |
| propia web. | ||
| Son aquellas que almacenan información del | ||
| comportamiento de los usuarios obtenida a través | ||
| COOKIES DE PUBLICIDAD | de la observación continuada de sus hábitos de | |
| COMPORTAMENTAL | navegación, lo que permite desarrollar un perfil | |
| específico para mostrar publicidad en función del | ||
| mismo. |
Adicionalmente, SONIA PEREA MARTINEZ informa de manera más detallada de las cookies que utiliza sus titulares, el uso o finalidad concreta, los plazos de conservación, así como de las posibles Transferencias Internacionales de datos de cada una de ellas utilizadas en nuestra página web:
| COOKIES PROPIAS | ||||
| Tipo | Titular | Cookie | Finalidad | Conservación |
|
Técnicas |
||||
|
Personalización |
||||
|
Análisis |
||||
| Publicidad/ Publicidad comportamental | ||||
| COOKIES DE TERCEROS | ||||
| Tipo | Titular | Cookie | Finalidad | Conservación |
|
Técnicas |
||||
|
Personalización |
||||
|
Análisis |
||||
| Publicidad/ Publicidad comportamental | ||||
Puede informarse de las transferencias internacionales a terceros países que, en su caso, realizan los TERCEROS, identificados en esta política de cookies, en sus correspondientes políticas (hacer click encima del titular de la cookie).
SONIA PEREA MARTINEZ informa de manera más exhaustiva la información relativa a las transferencias internacionales derivadas de la utilización de cookies propias:
| TRANSFERENCIAS INTERNACIONALES | |||
| Titular | Cookie | País de la transferencia | Régimen aplicado |
Téngase en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero.
A continuación, le proporcionamos los enlaces de diversos navegadores, a través de los cuales podrá modificar la configuración de su navegador sobre el uso de cookies:
- Firefox: http://support.mozilla.org/es/kb/habilitar-y-deshabilitar-cookies-que-los-sitios-we
- Chrome: http://support.google.com/chrome/bin/answer.py?hl=es&answer=95647
- Internet Explorer: http://windows.microsoft.com/es-es/internet-explorer/delete-manage-cookies#ie=ie- 10
- Microsoft Edge: https://support.microsoft.com/es-es/microsoft-edge/eliminar-las-cookies-en-microsoft- edge-63947406-40ac-c3b8-57b9-2a946a29ae09
- Safari: https://support.apple.com/kb/ph17191?locale=es_ES
Para conocer más información sobre el tratamiento de datos personales, le recomendamos visitar nuestro apartado “Política de Privacidad”.
Última actualización: 8 de mayo de 2023
3.7 GESTIÓN DEL CANAL ÉTICO
Un Canal Ético (o canal de Denuncias) es un sistema interno de comunicación, que la organización pone a disposición de las personas trabajadoras y de los terceros con los que mantiene relaciones profesionales y/o comerciales para que puedan informar sobre incumplimientos o irregularidades de los que hayan tenido conocimiento y que contravengan la normativa vigente y aplicable a la organización, el SGC y sus políticas y/o procedimientos.
El establecimiento de un Canal Ético en la organización es un elemento fundamental para la eficacia del Sistema de Gestión de Compliance, ya que permite prevenir, detectar y actuar contra aquellas conductas que puedan suponer la materialización de incumplimientos e infracciones.
Es por ello, que SONIA PEREA MARTINEZ deberá diseñar e implementar lo siguiente:
- Canal Ético.
- Protocolo de funcionamiento del Canal Ético.
- Pautas de actuación en caso de materialización de una infracción de la normativa tanto interna como externa aplicable a la organización.
3.8. GESTIÓN DE INCIDENCIAS Y VIOLACIONES DE SEGURIDAD DE LOS DATOS
- Incidentes y violaciones en la seguridad de la información
SONIA PEREA MARTINEZ ha establecido un conjunto de responsabilidades y procedimientos en cuanto a gestión, para tener la garantía de efectuar una respuesta rápida y eficiente ante un incidente de seguridad de la información
Para ello, la organización ha tenido en cuenta, principalmente, las siguientes directrices: Con respecto de responsabilidades para la gestión eficiente:
- Procedimientos para la monitorización, detección, análisis y comunicación de incidentes de seguridad
de la información. Además del registro de actividades de gestión de incidentes.
- Procedimientos para la respuesta. Considerando aquellos como el escalado en la comunicación hacia personas internas y externas. Para personas externas se considera, además, el Delegado de Protección de Datos (DPD) en caso de tener asignada una persona que ocupe dicho rol, o bien, la propia Autoridad de
- Ninguna persona trabajadora, contratista o tercero debería comprobar, en ningún caso, un punto débil. En caso de hacerlo se podría interpretar como un uso indebido del sistema y podría derivar responsabilidades
A nivel de comunicación se han establecido:
- Canales de comunicación adecuados y un formulario de comunicación de eventos de seguridad para formalizar el proceso y garantizar que se cumplen todas las acciones necesarias en caso de eventos de
- Procedimientos relativos comportamiento a adoptar ante un incidente de seguridad y a la comunicación efectiva hacia el punto de contacto para adoptar acciones coordinadas
- Procesos de retroalimentación para que toda persona que haya notificado un evento de seguridad, una vez se haya tratado y cerrado el incidente, sea informada de los resultados. El conocimiento obtenido se utilizará para reducir la probabilidad o el impacto de posibles incidentes futuros.
Se consideran eventos o incidentes de seguridad de la información, principalmente, los siguientes:
- Quebrantamiento de las expectativas de integridad, confidencialidad y disponibilidad de la información.
También se considerará el quebrantamiento de la seguridad física.
- Errores humanos o incumplimiento de las políticas o
- Cambios incontrolados o comportamientos anómalos de los sistemas, software o
- Violaciones de
En caso de incidente o violación de la seguridad de la información, SONIA PEREA MARTINEZ determinará si la continuidad de la seguridad de la información se enmarca dentro de la continuidad del negocio, o bien, dentro del plan de recuperación de desastres. La continuidad del negocio engloba la totalidad de la organización mientras que el plan de recuperación de desastres sólo se ocupa de la infraestructura tecnológica. Para ello, SONIA PEREA MARTINEZ ha establecido, documentado, implementado procesos, procedimientos y controles para la continuidad del negocio.
SONIA PEREA MARTINEZ ha establecido en los apartados 3.8.1. Procedimiento para la gestión de las violaciones de seguridad de los datos y 3.8.2. Procedimiento de comunicación interna ante una violación de seguridad de los datos, procedimientos que establecen las pautas para la gestión de las violaciones de seguridad de los datos así como, el canal de comunicación con el Delegado de Protección de Datos, en su defecto el Compliance Officer, el cual será el responsable de atender cualquier incidente de seguridad que afecte a los datos de carácter personal.
3.8.1. Procedimiento para la gestión de las violaciones de seguridad de los datos
- Alcance y objetivos
Según el artículo 4 del Reglamento General de Protección de Datos una violación de la seguridad de datos personal es “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;”. Por ende, solo se aplicará este procedimiento en aquellos incidentes de seguridad que se vean afectados datos de carácter personal.
El presente procedimiento tiene por objeto pautar la gestión de las violaciones de seguridad en cuanto afecten a datos de carácter personal, de conformidad con la normativa aplicable y vigente en materia de protección de datos, específicamente, para el cumplimiento de lo dispuesto en los artículos 33 y 34 del Reglamento General de Protección de Datos. El procedimiento trata de garantizar la confidencialidad, integridad y disponibilidad de los datos en un proceso de mejora continua.
El procedimiento pretende facilitar a SONIA PEREA MARTINEZ un plan de actuación para enfrentarse a las brechas y así paliar o aminorar las consecuencias negativas. A modo de ejemplo:
- Se ha realizado una clasificación de mecanismos de detección e identificación de las brechas.
- Se establecen tipologías de brechas teniendo en cuenta su
- Se tiene en cuenta un plan de actuación.
- Se establece un proceso de notificación en aquellos casos en que sean
En la medida en que la organización esté preparada para afrontar la gestión de un incidente de seguridad permitirá responder de forma rápida, ordenada y eficaz al evento, minimizando las consecuencias del mismo sobre la propia organización y terceras partes implicadas. El nivel de respuesta a un incidente de seguridad dependerá del tamaño de la organización, del tipo de datos y la complejidad del tratamiento.
El presente procedimiento se mantendrá en todo momento actualizado por el Delegado de Protección de Datos y en su defecto, por el Compliance Officer. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de SONIA PEREA MARTINEZ.
Del mismo modo, el procedimiento, se adecuará en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.
- Formas de detección de una brecha
SONIA PEREA MARTINEZ podrá identificar un incidente de seguridad de la información mediante fuentes internas o, bien, fuentes externas:
- Fuentes internas
Se pueden considerar las siguientes fuentes de información:
Notificaciones de usuarios/ personas trabajadoras: presencia de archivos con caracteres inusuales, recepción de correos electrónicos con archivos adjuntos sospechosos, comportamiento extraño de dispositivos, imposibilidad de acceder a ciertos servicios, extravío/robo de dispositivos de almacenamiento o equipos con información. En caso de que la detección se realice por parte del personal de SONIA PEREA MARTINEZ deberá tener en cuenta el procedimiento establecido en el apartado 3.8.2. Procedimiento de comunicación interna de las violaciones de seguridad de los datos.
Alertas generadas por software antivirus.
Consumos excesivos y repentinos de memoria o disco en servidores y equipos. Anomalías de tráfico de red o picos de tráfico en horas inusuales.
Análisis de registro de servidores y aplicaciones con intentos de acceso no autorizados.
- Fuentes externas
Es posible que la detección de incidentes se produzca por la comunicación de un tercero como:
Proveedores de servicios informáticos. Proveedores de servicios de internet.
Fabricantes de soluciones de seguridad. Clientes.
Distintos organismos públicos a través de comunicación o notificación que realicen a la empresa los como el Instituto Nacional de Cyberseguridad (INCIBE), el Centro Criptológico Nacional (CCN), Fuerzas y Cuerpos de Seguridad del Estado.
Medios de comunicación mediante información publicada.
- Identificación y registro
Una vez que SONIA PEREA MARTINEZ haya detectado la violación de seguridad, deberá determinar si se está ante un incidente de seguridad o no, así como su naturaleza, clase, tipo, si dicho incidente ha afectado a datos de carácter personal, y por tanto, constituye una “brecha de los datos de carácter personal” descrita en el RGPD, y el nivel de riesgo al que se enfrenta SONIA PEREA MARTINEZ.
Una vez identificado el incidente es necesario contar con medios para documentar el seguimiento del mismo, quedando anotados todos los aspectos del incidente en un registro de incidencias.
En particular, SONIA PEREA MARTINEZ deberá mantener como mínimo un registro documental de los incidentes de seguridad que hayan afectado a los datos de carácter personal, incluyendo el tipo de incidente, descripción del mismo, gravedad, estado y medidas adoptadas para su resolución. Por otra parte, una de las ventajas de disponer de este registro documental de incidencias es que, en ocasiones, incidentes de pequeña entidad pueden revelar la ocurrencia de un problema mayor previamente no identificado.
Por ende, SONIA PEREA MARTINEZ documentará, en el Registro de violaciones de seguridad de datos, cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en la normativa aplicable y vigente en materia de protección de datos. (Véase Modelo de Registro de violaciones de seguridad de datos).
- Clasificación de violaciones de seguridad
Una vez detectado e identificado un incidente de seguridad es necesario entrar en la fase de análisis que permitirá a SONIA PEREA MARTINEZ recabar información y clasificar el incidente con mayor precisión.
Los factores que se pueden considerar a la hora de establecer criterios de clasificación son, entre otros:
Tipo de amenaza: código dañino, intrusiones, fraude, etc. Se trata de una breve descripción del incidente en función de la información de la que se disponga.
Contexto u origen de la amenaza: interna o externa.
Categoría de seguridad de los sistemas y datos afectados. El perfil de los usuarios afectados.
Número y tipología de los sistemas afectados.
Impacto del incidente en la organización y en los derechos y libertades de los afectados. Requerimientos legales y regulatorios.
- Tipos de brechas de seguridad
Una brecha de seguridad se puede clasificar en una o varias de las siguientes categorías:
- Brecha de confidencialidad: Tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a La severidad de la pérdida de confidencialidad varía según el alcance de la divulgación, es decir, el número potencial y el tipo de partes que pueden haber accedido ilegalmente a la información.
- Brecha de integridad: se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo. La situación más grave ocurre cuando existen serias posibilidades de que los datos alterados se hayan utilizado de una manera que pueda dañar al
- Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo), o permanente (los datos no pueden recuperarse).
- Valoración del alcance de la brecha
Una vez clasificada la violación de la seguridad, SONIA PEREA MARTINEZ procederá a su valoración para determinar cuál es el riesgo de vulnerar los derechos y libertades de los interesados. La peligrosidad dependerá de los siguientes factores:
- La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados. Siguiendo la clasificación genérica, podemos distinguir entre:
Crítico (afecta a datos valiosos, gran volumen y en poco tiempo)
Muy Alto (Cuando dispone de capacidad para afectar a información valiosa, en cantidad apreciable)
Alto (Cuando dispone de capacidad para afectar a información valiosa)
Medio (Cuando dispone de capacidad para afectar a un volumen apreciable de información) Bajo (Escasa o nula capacidad para afectar a un volumen apreciable de información).
- Naturaleza, sensibilidad y categorías de los datos personales afectados:
Datos de escaso riesgo: datos de contacto, de educación, familiares, profesionales, biográficos. Datos de comportamiento: localización, tráfico, hábitos y preferencias.
Datos financieros: transacciones, posiciones, ingresos, cuentas, facturas. Datos sensibles: de salud, biométricos, datos relativos a la vida sexual, etc.
- Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización (por ejemplo, cifrado o hash).
- Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).
- Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la
- Severidad de las consecuencias para los individuos:
Baja: Las personas no se verán afectadas o pueden encontrar algunos inconvenientes que superarán sin ningún problema (tiempo de reingreso de información, molestias, irritaciones, etc.).
Media: Las personas pueden encontrar inconvenientes importantes, que podrán superar a pesar de algunas dificultades (costos adicionales, denegación de acceso a servicios comerciales, miedo, falta de comprensión, estrés, dolencias físicas menores, etc.).
Alta: Las personas pueden enfrentar consecuencias importantes, que deberían poder superar, aunque con serias dificultades (malversación de fondos, listas negras de los bancos, daños a la propiedad, pérdida de empleo, citación judicial, empeoramiento de la salud, etc.).
Muy alta: Las personas pueden enfrentar consecuencias significativas, o incluso irreversibles, que no pueden superar (exclusión o marginación social, dificultades financieras tales como deudas considerables o incapacidad para trabajar, dolencias psicológicas o físicas a largo plazo, muerte, etc.).
- Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades
- Número de individuos afectados: Dentro de una escala determinada, por ejemplo, más de 100
- Características especiales del responsable del tratamiento (de la entidad en sí): En base a la actividad de la
- El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o
- El número y tipología de los sistemas afectados.
- Los requerimientos legales y regulatorios: Notificación de la brecha a la autoridad de control y cualquier otra obligación de notificación, comunicación a Fuerzas y Cuerpos de Seguridad del Estado en caso de
El impacto que la brecha puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los Servicios, la conformidad legal y/o la imagen pública va a estar relacionado con la categoría o criticidad de los servicios afectados y personas afectadas. En este aspecto diferenciamos entre los siguientes impactos:
- Bajo (perjuicio limitado)
- Medio (perjuicio grave)
- Alto (perjuicio muy grave)
- Notificación de la brecha a la autoridad de control
Independientemente de las comunicaciones internas, SONIA PEREA MARTINEZ deberá notificar las violaciones de seguridad a la autoridad de control correspondiente, en caso de que sea oportuno. Según la normativa aplicable y vigente en materia de protección de datos, una violación de la seguridad de los datos personales se deberá notificar a la autoridad de control en caso que se considere probable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas. Esta notificación, a la autoridad de control, deberá realizarse sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. En caso de que la notificación a la autoridad de control no tenga lugar en el plazo de 72 horas, en el momento de efectuarse deberá ir acompañada de los motivos de la dilación. Notificación de una violación de la seguridad de los datos personales a la autoridad de control, del RGPD:
La notificación de la violación de seguridad deberá contener, como mínimo:
- descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- comunicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
- descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Comunicación de la brecha a los interesados
Independientemente de las comunicaciones internas, SONIA PEREA MARTINEZ deberá comunicar las violaciones de seguridad a los afectados en caso de que sea oportuno. Según la normativa aplicable y vigente en materia de protección de datos, una violación de la seguridad de los datos personales se deberá comunicar a los interesados en caso de que se considere probable que dicha violación de la seguridad constituya un alto riesgo para los derechos y libertades de las personas físicas. Esta comunicación, a los interesados, deberá realizarse sin dilación indebida.
La comunicación al interesado contendrá como mínimo la información y las medidas que se describen a continuación:
- comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
La comunicación al interesado no será necesaria si se cumple alguna de las condiciones siguientes:
- el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
- suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los
Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga.
- Contención de la violación de la seguridad y recuperación del sistema
SONIA PEREA MARTINEZ deberá garantizar la aplicación de las medidas dirigidas a contener la violación de la seguridad y a recuperar el sistema en su funcionamiento habitual. Dentro de esta fase tenemos los procesos de contención y de recuperación:
Proceso de contención: tiene como objetivo contener el incidente, tras lo cual se erradica la situación generada por el mismo. Cuando se ha conseguido contener el incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas.
Proceso de recuperación: tiene como objetivo el restablecimiento del servicio en su totalidad confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa. Esto puede implicar la adopción no solo de medidas activas, sino también implementando controles periódicos y eficaces que permitan el seguimiento pormenorizado de los procesos de mayor riesgo.
- Flujo del procedimiento de gestión de las violaciones de seguridad de los datos personales
REGISTRO DE VIOLACIONES DE SEGURIDAD DE LOS DATOS
|
REGISTRO DE VIOLACIONES DE SEGURIDAD |
||||||
|
Código de entrada |
Año |
Tipo de incidente |
Información afectada |
Número de registros afectados | Notificación ante la AEPD/
Comunicación afectados |
Dpto. Gestión |
3.8.2. Procedimiento de comunicación interna ante una violación de seguridad de los datos
- Alcance y objetivo
El presente procedimiento tiene por objeto pautar la gestión de las violaciones de seguridad en cuanto afecten a datos de carácter personal, de conformidad con la normativa aplicable y vigente en materia de protección de datos. Específicamente, para el cumplimiento de lo dispuesto en los artículos 33 y 34 del Reglamento General de Protección de datos. El procedimiento trata de garantizar la confidencialidad, integridad y disponibilidad de los datos en un proceso de mejora continua.
El presente procedimiento se mantendrá en todo momento actualizado por el Delegado de Protección de Datos y en su defecto, por el Compliance Officer y debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de SONIA PEREA MARTINEZ.
Del mismo modo, el procedimiento, se adecuará en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.
El alcance o ámbito de aplicación del presente procedimiento es para los miembros de la entidad, incluyendo al personal de la compañía que trabaje de manera itinerante. El procedimiento deberá ser conocido por el personal de SONIA PEREA MARTINEZ y será considerado de obligado cumplimiento para todo el personal que detecta una violación de seguridad que afecte a datos de carácter personal.
- Detección y comunicación interna
Cuando algún miembro de la organización haya detectado e identificado una brecha de seguridad será necesaria poner en marcha este procedimiento para la comunicación interna de las violaciones de seguridad con la finalidad de solucionar el incidente.
SONIA PEREA MARTINEZ ha establecido un canal fluido de comunicación para que el personal que detecte cualquier brecha o violación en la seguridad de los datos personales y la misma pueda afectar al cumplimiento de la normativa vigente y aplicable en protección de datos, pueda comunicarla con la máxima diligencia posible. El procedimiento de comunicación será el siguiente:
- Remisión del Modelo de Comunicación Interna por parte del miembro de la organización. Una vez cumplimentado el Modelo de Comunicación Interna, la persona comunicante deberá remitirlo al Delegado de Protección de Datos (en adelante DPD), o en su defecto al Compliance Officer, adjuntando toda la documentación que considere relevante, en relación a la operación
- El Compliance Officer registrará la comunicación realizada indicando hora, fecha y lugar de presentación de la comunicación. Todas las comunicaciones internas que se realicen por parte de los directivos, miembros o agentes de SONIA PEREA MARTINEZ, quedarán registradas por orden numérico de entrada seguido del año en que se realice la comunicación. Dicho registro de entrada será la que se corresponderá con el número de comunicación. (véase apartado 8.1. Procedimiento para la gestión de las violaciones de seguridad de los datos)
- El Compliance Officer podrá requerir a la persona comunicante información más detallada sobre la operación comunicada, si ello resultase necesario para un análisis más detallado de la
- El Compliance Officer realizará las actuaciones pertinentes para la detección, identificación, clasificación y valoración de la brecha de seguridad en atención al procedimiento establecido en el apartado 7.1. Procedimiento para la gestión de las violaciones de seguridad de los datos.
- El Compliance Officer emitirá un informe de resolución y cierre de la violación de la seguridad a través del Modelo de resolución ante la violación de seguridad de los datos.
Dicho Informe de resolución recopilará toda la información y documentación relativa a la brecha de manera que se facilite el estudio y revisión por terceros, o la dirección de SONIA PEREA MARTINEZ. El Informe recopilará:
- Alcance e impacto del
- Controles preventivos
- Acciones de respuesta tomadas sobre las diferentes alternativas consideradas para la resolución de la brecha.
- Acciones tomadas para la prevención de futuras brechas.
- Impacto en la resolución del incidente de las acciones de respuesta
- Acciones definidas para el
Los informes sobre las brechas y su impacto son una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos. El uso de esta información servirá para prevenir la reiteración del impacto de una brecha.
SONIA PEREA MARTINEZ ha establecido un flujo para la comunicación de la violación de la seguridad al Compliance Officer:
- Cumplimentación formulario de comunicación de la violación de seguridad
El Modelo de Comunicación Interna (MOD-CINT1) deberá contener la siguiente información:
- Registro de entrada – día – mes – año – hora
- Identificación del sujeto que realiza la comunicación (persona física/persona jurídica)
- Relación que mantiene con la empresa (cargo/rol)
- Descripción de la duda, sugerencia o comunicación
- Si se trata de un indicio o sospecha de una violación de seguridad de los datos personales, se deberá de describir:
- La violación de seguridad de los datos producida
- Lugar, fecha y hora de la violación de la seguridad de los datos personales
- Las consecuencias probables de la violación de seguridad de los datos personales (en caso de conocerse)
Asimismo, deberán señalarse las medidas adoptadas o propuestas para poner remedio a la violación de seguridad de los datos personales (en caso de conocerse). Indicar medidas tendentes a atenuar los posibles efectos negativos de la violación de seguridad de los datos personales.
- Relación de documentación adjuntada
- Otros comentarios
- Firma/sello del comunicante
Todas las comunicaciones internas que se realicen al Compliance Officer, por parte de los directivos, miembros o agentes relaciones con la entidad, quedarán registradas por orden numérico de entrada seguido del año en que se realice la comunicación. Dicho registro de entrada será la que se corresponderá con el número de comunicación.
Una vez recibida la comunicación, la persona trabajadora quedará liberado totalmente de cualquier responsabilidad al respecto y será plena responsabilidad del Compliance Officer proceder a su inmediato análisis o comprobación para determinar la relación de los hechos u operaciones comunicadas.
El resultado del análisis de la violación de la seguridad deberá realizarse a través de la cumplimentación del modelo de resolución (MOD-CINT2), que deberá contener la siguiente información:
- Nº de comunicación – día – mes – año – hora
- A quien se dirige (persona que ha efectuado la comunicación)
- Datos de referencia de la comunicación
- Conclusiones del análisis de la operación
- Acciones efectuadas
- Firma del DPD o Compliance Officer
- Entrada en vigor y actualización
La presente política entrará en vigor con efectos vinculantes para todos sus destinatarios desde la aprobación por parte del órgano de gobierno del Sistema de Gestión de Compliance y permanecerá mientras no se apruebe su actualización, revisión o derogación.
MODELO DE COMUNICACIÓN DE LA VIOLACIÓN DE SEGURIDAD
| COMUNICACIÓN INTERNA VIOLACIÓN DE SEGURIDAD |
|
ENTRADA: ………….…..……….. DÍA: ……..…… MES:……….…… AÑO: …………… HORA: ………………… |
| IDENTIFICACIÓN DEL EMPLEADO QUE REALIZA LA COMUNICACIÓN:
Nombre y Apellidos: DNI/NIE: Cargo:
1. DESCRIPCIÓN DE DUDA, SUGERENCIA, COMUNICACIÓN:
1. COMUNICACIÓN DE VIOLACIÓN DE SEGURIDAD DE LOS DATOS PERSONALES 2.1.-Descripción de la violación producida: 2.2.- Describir las consecuencias probables de la violación de seguridad de los datos personales (en caso de conocerse):
2. RELACIÓN DE DOCUMENTACIÓN ADJUNTADA:
1.-………………………………………………………………………………………………………………..
2.-………………………………………………………………………………………………………………..
3.-……………………………………………………………………………………………………………….
3. OTROS COMENTARIOS |
| Firma/sello del comunicante |
MODELO DE RESOLUCIÓN ANTE LA VIOLACIÓN DE SEGURIDAD
| INFORME DE RESOLUCIÓN DE LA VIOLACIÓN DE SEGURIDAD |
|
ENTRADA: …………..…..…….. DÍA: ……..…… MES:……….…… AÑO: …………… HORA: …………….……… |
| Nº COMUNICACIÓN:
DIRIGIDO A:
Nombre y Apellidos: DNI/NIE: Cargo:
2. DATOS DE REFERENCIA DE LA COMUNICACIÓN
3. CONCLUSIONES DEL ANÁLISIS DE LA OPERACIÓN
4. ACCIONES EFECTUADAS |
| Firma |
3.9. GESTIÓN DE DERECHOS DE LOS INTERESADOS
En la normativa vigente y aplicable de protección de datos se regula tanto los derechos que puede ejercer el interesado como los mecanismos de ejercicio de tales derechos ante el Responsable del Tratamiento de los datos.
Los derechos que puede ejercer el interesado son los siguientes:
- Derecho de Acceso a los datos personales
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a obtener copia de los mismos de manera sencilla y gratuita. Ello implica tener acceso a la siguiente información sobre su tratamiento:
- Fines del
- Categorías de datos que se
- Destinatarios o categorías de destinatarios a los que se comunicarán o se prevén
- El plazo de conservación o, en su defecto, los criterios utilizados para
- El derecho a solicitar la rectificación, supresión de datos o la limitación u oposición al tratamiento.
- El derecho a poner una reclamación ante la autoridad de
- El origen de los datos cuando no se hayan obtenido directamente del
- Existencia de decisiones automatizadas, incluida la elaboración de
- Transferencias internacionales de datos a un tercer país u organización internacional, así como las garantías de las mismas.
- Derecho de Rectificación de datos personales
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Al ejercer el derecho de rectificación, el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
- Derecho de Supresión y derecho al Olvido
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales cuando concurra alguna de las circunstancias siguientes:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
- el interesado retire el consentimiento en que se basa el tratamiento;
- el interesado se oponga al tratamiento;
- los datos personales hayan sido tratados ilícitamente;
- los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.
Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento adoptará medidas razonables con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado, para que se suprima cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Lo establecido anteriormente no se aplicará cuando el tratamiento sea necesario:
- para ejercer el derecho a la libertad de expresión e información;
- para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
- por razones de interés público en el ámbito de la salud pública
- con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
- para la formulación, el ejercicio o la defensa de
- Derecho de Limitación del Tratamiento
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
- el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
- el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
- el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
- el interesado se haya opuesto al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
Todo interesado que haya obtenido la limitación del tratamiento será informado por el responsable antes del levantamiento de dicha limitación.
- Derecho a la Portabilidad de los datos
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, cuando:
- el tratamiento esté basado en el consentimiento o en un contrato y
- el tratamiento se efectúe por medios
Al ejercer su derecho a la portabilidad de los datos, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
El ejercicio del derecho se entenderá sin perjuicio del derecho de supresión de los datos. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
El derecho de portabilidad de los datos no afectará negativamente a los derechos y libertades de otros.
- Derecho de Oposición al tratamiento
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
A más tardar en el momento de la primera comunicación con el interesado, el derecho de oposición al tratamiento será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados.
Cuando los datos personales se traten con fines de investigación científica, histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
- Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Ello no se aplicará si la decisión:
- es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
- está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
- se basa en el consentimiento explícito del
En los casos a que se refiere las letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
3.9.1. Procedimiento de atención de los derechos
- Objeto y alcance
El objeto del presente procedimiento es establecer las pautas para la atención y gestión de los derechos de los interesados de conformidad con la normativa aplicable y vigente en materia de protección de datos. Específicamente, para el cumplimiento de lo dispuesto en los artículos 15 al 22 del Reglamento General de Protección de datos y los artículos 12 al 18 de la Ley Orgánica de Protección de Datos y Garantías de los Derechos digitales. Este procedimiento se ha confeccionado teniendo en cuenta las operaciones de tratamiento realizadas por SONIA PEREA MARTINEZ, en especial atención a las categorías de interesados de las operaciones de tratamiento. El procedimiento, deberá ser conocido por el personal de SONIA PEREA MARTINEZ y será considerado de obligado cumplimiento para todo el personal que reciba un ejercicio de derecho de un interesado.
El presente documento se mantendrá en todo momento actualizado por el Delegado de Protección de Datos y en su defecto, por el Compliance Officer. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de SONIA PEREA MARTINEZ.
Del mismo modo, el documento, se adecuará en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.
- Ejercicio de derechos
Los derechos que puede ejercer el interesado de los datos son los siguientes:
- Derecho de acceso: Es el derecho del interesado a obtener del Responsable del Tratamiento confirmación de si se están tratando o no datos personales que le conciernen, y en caso de que se confirme el tratamiento se le deberá de facilitar el acceso a los datos y a la información que dispone.
- Derecho de rectificación: El interesado tendrá derecho a obtener del Responsable del Tratamiento sin demora injustificada la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. Habida cuenta de los fines para los cuales se hayan tratado los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración adicional.
- Derecho a la limitación del tratamiento: Es el derecho a obtener del Responsable del Tratamiento la limitación del tratamiento de datos personales.
- Derecho a la supresión (“derecho al olvido”): Hace referencia al derecho del interesado a obtener del Responsable del Tratamiento la supresión de los datos personales que le conciernan sin demora
- Derecho a la portabilidad de los datos: Consiste en el derecho a recibir los datos personales que le incumban, que haya facilitado a un Responsable del Tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro Responsable del Tratamiento sin que lo impida el Responsable del Tratamiento al que se hubieran facilitado los datos.
- Derecho de oposición: El interesado podrá oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento para el cumplimiento de un interés público o para la satisfacción de un interés legítimo, inclusive la elaboración de perfiles sobre la base de dichas disposiciones.
- Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles: El interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
En materia de protección de datos de carácter personal, debemos tener en cuenta los siguientes criterios comunes que serán de aplicación a cualquier ejercicio de derechos conferidos por esta normativa:
- El ejercicio es gratuito (salvo en los excepcionales casos determinados expresamente por la ley, como solicitudes manifiestamente infundadas o excesivas).
- El Responsable del Tratamiento está obligado a informar sobre los medios y canales para ejercer estos derechos, debiendo ser accesibles.
- Puede ser ejercido por el propio interesado o por medio de su representante legal o voluntario.
- Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones
- Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
- Solicitud
SONIA PEREA MARTINEZ establece que toda solicitud deberá ir acompañada de la siguiente información:
- Nombre, apellidos del interesado y copia del DNI. En los excepcionales casos en que se admita la representación, será también necesaria la identificación por el mismo medio de la persona que le representa, así como el documento acreditativo de la representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en
- Petición en que se concreta la solicitud. (Ejercicio que se solicita o información a la que se quiere acceder). Si no hace referencia a un fichero concreto se le facilitará toda la información que se tenga a su nombre. Si solicita información de un fichero en concreto, sólo la información de este fichero. Si solicita información relativa a un tercero nunca se podrá facilitar. Si lo solicita por teléfono se le indicará que lo haga por escrito y se le informará de cómo lo puede hacer y la dirección a la que tiene que Nunca se le dará información por teléfono.
- Domicilio a efecto de
- Fecha y firma del
- Documentos acreditativos de la petición que
Se ha habilitado un modelo de ejercicio de derechos que podrá ser proporcionado a aquellos interesados que pretendan ejercer un derecho.
Asimismo, SONIA PEREA MARTINEZ establece un canal de comunicación para recibir y atender de forma efectiva los derechos de los interesados.
- Plazos de respuesta
SONIA PEREA MARTINEZ dispone de un plazo de un mes para resolver el ejercicio de los derechos anteriormente indicados. Dicho plazo podrá prorrogarse otros dos meses en caso de que sea necesario, teniendo en cuenta la complejidad y el número de solicitudes. SONIA PEREA MARTINEZ informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se
facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
SONIA PEREA MARTINEZ soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
- Régimen sancionador
La importancia de la implementación del procedimiento de gestión y atención de derechos de los interesados responde a la obligatoriedad de atender los derechos de los interesados en el tiempo y forma oportunos. De otra forma se estaría vulnerando las disposiciones de la normativa aplicable y vigente en materia de protección de datos. Específicamente, la LOPDGDD dispone de un régimen sancionador en el cual se establecen algunas infracciones en materia de derechos de los interesados. A modo ejemplificativo se enumeran las siguientes infracciones:
- La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artículo 12.5.
- El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
- Entrada en vigor y actualización
La presente política entrará en vigor con efectos vinculantes para todos sus destinatarios desde la aprobación por parte del órgano de gobierno del Sistema de Gestión de Compliance y permanecerá mientras no se apruebe su actualización, revisión o derogación.
MODELO DE DOCUMENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
Responsable del Tratamiento:
| Nombre y Apellidos del solicitante: |
| DNI: |
| Nombre y Apellidos del representante: |
| DNI: |
Solicito:
Que, de acuerdo con lo establecido en la normativa aplicable y vigente en materia de protección de datos ejerzo:
Derecho Acceso Derecho de Rectificación
Derecho de Limitación de tratamiento Derecho de Supresión (“derecho al olvido”) Derecho de Portabilidad
Derecho de Oposición/revocación
Motivación y especificación de la solicitud:
Documentación adjunta (marcar la que proceda):
Copia del DNI o pasaporte
Título que acredita la representación, en caso de que sea necesario Otra documentación acreditativa:
Dirección a efectos de notificaciones:
Localidad y fecha Firma del solicitante
3.10. POLÍTICA INTERNA DE DESCONEXIÓN DIGITAL
- Introducción
La política de desconexión digital pretende dar cumplimiento a las previsiones del artículo 88 de la LOPDGDD. De conformidad con el mencionado artículo el personal tendrá derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la entidad y los representantes de las personas trabajadoras.
La entidad, previa audiencia de los representantes de las personas trabajadoras, elaborará una política interna dirigida al personal, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio de la persona trabajadora vinculado al uso con fines laborales de herramientas tecnológicas.
- Antecedentes
En diciembre de 2018, entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD), por la que se modifica, entre otras disposiciones legales, el Texto Refundido de la Ley del Estatuto de los Trabajadores (en adelante ET), mediante la inclusión de un nuevo artículo, el 20 bis en el cual se reconoce el derecho a la desconexión digital. Adicionalmente, el artículo 88 de la LOPDGDD regula el derecho a la desconexión digital en el ámbito laboral a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto del tiempo de descanso, permisos y vacaciones, así como de la intimidad personal y familiar.
Por tanto, con la finalidad de dar respuesta a las estipulaciones del artículo 20 bis del ET y el artículo 88 de la LOPDGDD, SONIA PEREA MARTINEZ establece la siguiente política interna reguladora del derecho a la desconexión digital para las personas trabajadoras.
- Objetivo
La presente política tiene por objeto el establecimiento de medidas que tiendan a asegurar el respeto del tiempo de descanso y vacaciones de las personas trabajadoras, así como el respeto a su intimidad familiar y personal.
El objetivo de la presente política es reconocer el derecho a la desconexión digital como elemento fundamental para:
- Lograr una ordenación del tiempo de trabajo en aras del respeto de la vida privada y familiar;
- Mejorar la conciliación de la vida personal, familiar y laboral;
- Contribuir a la optimización de la salud
- Ámbito de aplicación
Esta política interna será de aplicación a las personas trabajadoras de SONIA PEREA MARTINEZ, incluidas las que ocupen puestos directivos, con la excepción de aquellas personas trabajadoras que disponen de un
complemento de disponibilidad o de similar naturaleza. Esta política también se aplicará en los supuestos de realización total o parcial del trabajo a distancia.
La presente política se deberá revisar periódicamente o cuando existan cambios significativos en la estructura y/u organización de SONIA PEREA MARTINEZ.
- Principios en materia de desconexión digital
SONIA PEREA MARTINEZ se compromete a impulsar medidas para garantizar el derecho a la desconexión digital atendiendo a los siguientes principios:
- Respetar el tiempo de descanso, permisos y vacaciones de las personas trabajadoras;
- Mejor la ordenación del tiempo de trabajo en aras del respeto de la vida privada y familiar;
- Potenciar el derecho a la conciliación de la actividad laboral y la vida personal y familiar;
- Realizar acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
Adicionalmente, SONIA PEREA MARTINEZ implantará y coordinará el trabajo a distancia desde el respeto y reconocimiento del derecho a la desconexión digital de las personas trabajadoras, de acuerdo al art. 88 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Medidas para la desconexión digital
- SONIA PEREA MARTINEZ garantizará a las personas trabajadoras el derecho a la desconexión digital una vez finalizada la jornada Estas tendrán derecho a no responder a ninguna comunicación, independientemente del medio utilizado, una vez finalizada su jornada laboral, salvo que concurran las circunstancias señaladas en el apartado 6) de la presente política.
- Las personas trabajadoras se deberán comprometer al uso adecuado de los medios informáticos y tecnológicos que SONIA PEREA MARTINEZ pudiera haber puesto a su disposición, de conformidad con las recomendaciones de protección de datos y seguridad de la información para el personal.
- Los responsables sobre un equipo de personas se abstendrán de requerir respuesta en las comunicaciones enviadas a las personas trabajadoras fuera de horario de trabajo o próximo a su finalización, siempre que pudieran suponer para los destinatarios de las mismas la realización de un trabajo efectivo que previsiblemente pueda prolongarse e invadir su tiempo de descanso. Por ello, las personas destinatarias de la comunicación tendrán derecho a no responder a la misma hasta el inicio de la siguiente jornada
En este sentido, en caso de enviar una comunicación que pueda suponer respuesta fuera del horario establecido al efecto, el remitente asumirá expresamente que la respuesta podrá esperar a la jornada laboral siguiente.
- La convocatoria de reuniones de trabajo, tanto a nivel interno como las que se lleven a cabo con clientes, así como la formación obligatoria, se realizarán teniendo en cuenta el tiempo aproximado de duración y, preferiblemente, no se extenderán hasta más tarde de la finalización de la jornada ordinaria de trabajo, a fin de que no se vea afectado el tiempo de descanso de las personas trabajadoras. Con carácter excepcional, y siempre que concurran las circunstancias establecidas en el apartado 6) de la presente política, el apartado anterior no será de aplicación.
- SONIA PEREA MARTINEZ garantizará a las personas trabajadoras el derecho a la desconexión digital durante el periodo que duren sus vacaciones, días de asuntos propios, descanso diario y semanal, permisos, incapacidades o excedencias.
- Se excluye la aplicación del derecho a desconexión digital a aquellas personas trabajadoras que perciban un complemento de “disponibilidad” u otro de similar naturaleza por el cual la persona trabajadora deberá atender las comunicaciones de la entidad.
Asimismo, no serán de aplicación las medidas que garantizan el derecho a la desconexión digital en los casos en que concurran circunstancias de causa de fuerza mayor o que supongan un grave o inminente perjuicio empresarial o del negocio, cuya urgencia necesita de una respuesta inmediata.
En dichos supuestos, si SONIA PEREA MARTINEZ requiere una respuesta de la persona trabajadora, una vez finalizada su jornada laboral, contactará con aquella preferiblemente por teléfono para comunicarle la situación de urgencia.
- SONIA PEREA MARTINEZ implementará medidas de sensibilización sobre el derecho a la desconexión Para lo cual se pondrá a disposición de las personas trabajadoras, toda la información y/o formación que precisen para la comprensión y posterior aplicación de las medidas protectoras del derecho a la desconexión digital.
Corresponde a quienes tengan la responsabilidad sobre un equipo y/o superiores jerárquicos de las personas trabajadoras, fomentar la utilización responsable de las tecnologías con el propósito de dar cumplimiento al derecho a la desconexión digital.
- El ejercicio del derecho a desconexión digital no repercutirá negativamente en el desarrollo profesional de las personas
Con todo ello, SONIA PEREA MARTINEZ reconoce y formaliza el derecho a la desconexión digital como un derecho, aunque no como una obligación, aplicable a todas las personas trabajadoras. Esto implica expresamente que, aquellas personas trabajadoras que realicen comunicaciones fuera de la jornada laboral podrán hacerlo con total libertad; sin embargo, deben asumir que no tendrán respuesta alguna hasta el día hábil posterior. Las únicas excepciones serían las reconocidas en el apartado 6) de la presente política.
- Entrada en vigor y actualización
La presente política entrará en vigor con efectos vinculantes para todos sus destinatarios desde la aprobación por parte del órgano de gobierno del Sistema de Gestión de Compliance y permanecerá mientras no se apruebe su actualización, revisión o derogación.
3.11. SISTEMA DISCIPLINARIO
La finalidad fundamental de un Sistema de Gestión de Compliance es promover e instaurar una cultura de respeto y cumplimiento de la ley entre todas las personas que integran la misma, así como entre todas aquellas con las que se relaciona.
La finalidad de un Sistema Disciplinario es sancionar el quebrantamiento de las normativas, procedimientos y políticas internas implementadas mediante el SGC. De esta manera, se pretende contribuir a evitar la transgresión de las normativas aplicables a SONIA PEREA MARTINEZ así como las políticas y procedimientos internos establecidos actuando como un mecanismo de ejemplaridad, corrección y solución.
Así pues, en el contexto de lo anterior, SONIA PEREA MARTINEZ deberá diseñar e implementar:
- un Sistema Disciplinario para una implementación eficaz de su SGC.