1.
Este documento titulado «Política de protección de la seguridad de los datos personales» (en lo sucesivo, la Política) tiene como objetivo proporcionar un mapa de los requisitos, principios y reglamentos para la protección de los datos personales en Skalium Spółka z ograniczoną odpowiedzialnością Sp. K. con sede en Bydgoszcz (en lo sucesivo, la Empresa). Esta Política constituye una política de protección de datos personales según el RGPD y ha sido desarrollada sobre la base a/ del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27/04/2016, sobre la protección de las personas en lo que se refiere al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46 CE (Reglamento general de protección de datos) ( DO UE L 119, p. 1) b/ la Ley del 10 de mayo de 2018 sobre la protección de datos personales (DO 2018, punto 1000). La finalidad de la Política de seguridad para el procesamiento de datos personales, en lo sucesivo denominada «Política de Seguridad», es obtener una manera óptima y legal de procesar información que contenga datos personales.
2. La Política incluye:
a) una descripción de los principios de protección de datos vigentes en la Empresa;
b) referencias a anexos detallados (modelos de procedimientos o instrucciones sobre áreas individuales del campo de la protección de datos personales que requieran aclaración en documentos separados);
3. El Consejo de Administración de la Empresa es responsable de la implementación y el mantenimiento de esta Política, incluyendo a:
(i) el Presidente del Consejo, encargado de supervisar el área de protección de datos personales;
(ii) la persona nombrada por el Consejo de Administración para garantizar el cumplimiento de la protección de datos personales; los responsables de supervisar y controlar el cumplimiento de la Política son:
(iii) Supervisor de Protección de Datos los responsables de aplicar esta Política son:
(iv) la Empresa;
(v) la unidad organizativa responsable del área de seguridad de la información;
(vi) las unidades organizativas que procesan datos personales,
(vii) todos los miembros que forman parte del personal de la Empresa. La Empresa también debe asegurarse de que la conducta de las entidades de contrapartida de la Empresa cumpla con esta Política en la medida pertinente, cuando la Empresa les proporcione datos personales.
4. Abreviaturas y definiciones:
– Política: se refiere a esta Política de protección de datos personales, a menos que el contexto indique claramente lo contrario . – RGPD: se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27.04.2016, sobre la protección de las personas en lo que respecta al tratamiento de datos personales y la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general sobre la protección de datos) (DO L 119, p. 1). – Datos: son los datos personales, a menos que el contexto indique claramente lo contrario . – Datos sensibles: son los datos especiales y los datos penales. – Datos especiales: son los datos enumerados en el art. 9 apartado 1 del RGPD, es decir, datos personales que revelan el origen racial o étnico, puntos de vista políticos, religiosos o creencias, afiliación sindical, datos genéticos, biométricos para identificar de manera única a una persona física o datos sobre salud, sexualidad u orientación sexual . – Datos penales: son los datos enumerados en el art. 10 del RGPD, es decir, datos sobre condenas y violaciones de la ley. – Datos de niños: son los datos de personas menores de 16 años. – Persona: es la persona sobre la que tratan los datos, a menos que el contexto indique claramente lo contrario. – Entidad de procesamiento: se refiere a una organización o persona encargada del procesamiento de datos personales por la Empresa (por ejemplo, contabilidad externa) . – Elaboración de perfiles: se refiere a cualquier forma de procesamiento automatizado de datos personales que implica el uso de datos personales para evaluar ciertos factores personales de una persona física, en particular, para analizar o pronosticar aspectos de los efectos laborales de la persona física, su situación económica, salud, sus preferencias personales, intereses, credibilidad , comportamiento, ubicación o movimiento . – Exportación de datos: se refiere a la transferencia de los datos a un país tercero u organización internacional . – SPD o Supervisor: es el Supervisor de Protección de Datos Personales. – RAPD o Registro: es el Registro de Actividades de Procesamiento de Datos Personales. – Empresa: es la empresa Skalium Spółka z ograniczoną odpowiedzialnością Sp. K. con sede en Bydgoszcz.
5. Protección de datos personales en la Empresa: principios generales
5.1. Pilares de protección de datos personales en la Empresa:
(1) Legalidad: la Empresa garantiza la protección de la privacidad y procesa los datos de acuerdo con la ley.
(2) Seguridad: la Empresa garantiza un nivel adecuado de seguridad de los datos mediante la realización de actividades continuas en esta área.
(3) Derechos Individuales: la Empresa permite a las personas cuyos datos procesa ejercer sus derechos y cumple estos derechos.
(4) Rendición de cuentas: la Empresa documenta cómo cumple con sus obligaciones para poder demostrar su cumplimiento en cualquier momento.
5.2. Principios de protección de datos La Empresa procesa datos personales de acuerdo con los siguientes principios:
(1) apoyándose en una base legal y de conformidad con la ley (legalidad);
(2) de manera fiable y honesta (confiabilidad);
(3) de manera transparente para la persona cuyos datos son procesados (transparencia);
(4) para fines específicos y sin exceso (minimización);
(5) no más de lo necesario (adecuación);
(6) cuidando que los datos sean correctos (exactitud);
(7) no más tiempo de lo necesario (temporalidad);
(8) garantizando la seguridad adecuada de los datos (seguridad).
5.3. Sistema de protección de datos El sistema de protección de datos personales en la Empresa consta de los siguientes elementos:
1) Inventario de datos.
La Empresa lleva a cabo la identificación de conjuntos de datos personales en la Empresa, clases de datos, relaciones entre conjuntos de datos, las formas de usar datos (inventario), incluyendo:
a) casos de procesamiento de datos especiales (datos sensibles);
b) casos de procesamiento de datos de personas que la Empresa no identifica (datos no identificados);
c) elaboración de perfiles;
2) Registro.
La Empresa desarrolla, lleva y mantiene un Registro de Actividades de Datos Personales en la Empresa (Registro) y un Registro de Categorías de Actividades de Procesamiento de Datos Personales. El Registro representa una herramienta para comprobar el cumplimiento de la protección de datos en la Empresa.
3) Bases legales.
La Empresa garantiza, identifica, verifica las bases legales para el procesamiento de datos y los inscribe en el Registro, de la siguiente manera:
a) manteniendo un sistema de gestión de consentimientos para el procesamiento de datos y la comunicación remota,
b) elaborando inventarios y presentando detalles de la justificación de los casos en que la Empresa procesa datos sobre la base del interés legítimo de la Empresa i.
4) Administración de derechos individuales.
La Empresa cumple con sus obligaciones de información ante las personas cuyos datos procesa, y administra sus derechos, cumpliendo con las solicitudes recibidas al respecto, incluyendo:
a) Obligaciones de información.
La Empresa proporciona a las personas la información requerida por ley al recopilar datos, y en otras situaciones, organizando y proporcionando la documentación de la implementación de estas obligaciones.
b) Posibilidad de realizar solicitudes.
La Empresa verifica y garantiza la posibilidad de realizar cada tipo de solicitud por sí misma y sus tramitadores.
c) Procesamiento de solicitudes.
La Empresa garantiza las inversiones y procedimientos adecuados para asegurar que las solicitudes de las personas se completen a tiempo y estén documentadas de la manera requerida por el RGPD.
d) Notificación sobre violaciones.
La Empresa implementa procedimientos para determinar la necesidad de notificar a las personas afectadas cuando se identifique una violación de la protección de sus datos.
5) Minimización.
La Empresa posee principios y métodos de gestión de minimización (privacy by default), que incluyen:
a) principios de gestión de adecuación de los datos;
b) principios de regulación y gestión del acceso a los datos;
c) principios de gestión del período de almacenamiento de datos y de verificación de su posterior utilidad;
6) Seguridad.
La Empresa garantiza un nivel adecuado de seguridad de datos, que incluye:
a) el análisis de riesgos para actividades de procesamiento de datos o categorías de los mismos;
b) evaluación del impacto de la protección de datos donde el riesgo de violar los derechos y libertades de las personas es alto;
c) adaptación de las medidas de protección de datos a los riesgos identificados;
d) sistema de gestión de seguridad de la información;
e) aplicación de procedimientos para identificar, evaluar y notificar una violación de protección de datos a la Autoridad de Protección de Datos – gestión de incidentes.
7) Procesamiento:
La Empresa posee unos principios para la selección de tramitadores de datos para la Empresa, requisitos en cuanto a las condiciones de procesamiento (acuerdo de encomienda), reglas para verificar el cumplimiento de los acuerdos de encomienda.
8) Exportación de datos.
La Empresa posee reglas para verificar que la Empresa no transfiere datos a países terceros (es decir, fuera de la UE, Noruega, Liechtenstein, Islandia) ni a organizaciones internacionales, y para garantizar las condiciones legales para tales transferencias, si ocurriesen.
9) Privacy by design.
La Empresa gestiona los cambios que afecten a la privacidad. Para ello, los procedimientos
para lanzar nuevos proyectos e inversiones en la Empresa tienen en cuenta la necesidad de evaluar el impacto del cambio en la protección de datos, asegurando la privacidad (incluido el cumplimiento de la finalidad de procesamiento, seguridad y minimización de datos) ya en la etapa de diseño del cambio, inversión o al comienzo de un nuevo proyecto.
6. Inventarios
6.1. Datos sensibles.
La Empresa identifica los casos en los que procesa o puede procesar datos sensibles (datos especiales y datos penales) y mantiene mecanismos dedicados a garantizar el cumplimiento de la ley sobre el procesamiento de datos sensibles. En el caso de identificar casos de procesamiento de datos sensibles, la Empresa procede de acuerdo con los principios adoptados a este respecto.
6.2. Datos no identificados.
La Empresa identifica casos en los que procesa o puede procesar datos no identificados y mantiene mecanismos para facilitar el ejercicio de los derechos de las personas a las que se refieren los datos no identificados.
6.3. Elaboración de perfiles.
La Empresa identifica casos en los que elabora perfiles con los datos procesados y mantiene mecanismos que garantizan el cumplimiento de este proceso de acuerdo con la ley. Si se identifican casos de elaboración de perfiles y una toma de decisiones automatizada, la Empresa seguirá los principios adoptados a este respecto.
7. Registro de Actividades de Procesamiento de Datos
7.1. El RAPD es una forma de documentar las actividades de procesamiento de datos, funciona como un mapa de procesamiento de datos y es uno de los elementos clave que permite la implementación del principio fundamental en el que se basa todo el sistema de protección de datos personales, es decir, los principios de rendición de cuentas.
7.2. La Empresa mantiene un Registro de Actividades de Procesamiento de Datos y un Registro de Categorías de Actividades de Procesamiento de Datos Personales en el que realiza inventarios y controla la forma en que utiliza los datos personales.
7.3. El Registro es una de las herramientas básicas que permite a la Empresa dar cuenta de la mayoría de las obligaciones de protección de datos. En el Registro, para cada actividad de procesamiento de datos que la Empresa ha reconocido como separada para la finalidad del Registro, la Empresa registra al menos:
(i) el nombre de la actividad,
(ii) la finalidad del procesamiento,
(iii) descripción de las categorías de personas,
(iv) descripción de las categorías de datos,
(v) la base legal para el procesamiento, junto con una especificación de la categoría de interés legítimo de la Empresa, si la base es un interés legítimo,
(vi) el método de recopilación de datos,
(vii) una descripción de las categorías de destinatarios de datos (incluidos los tramitadores),
(viii) información sobre transferencias fuera de la UE/EEE ;
(ix) una descripción general de las medidas técnicas y organizativas de protección de datos .
7.4. El modelo del Registro se adjunta como Anexo 1 a la Política – «Modelo del Registro de Actividades de Procesamiento de Datos». El modelo del Registro también contiene columnas opcionales. En las columnas opcionales, la Empresa registra la información según sea necesario y posible, teniendo en cuenta que el contenido más completo del
Registro hace que sea más fácil administrar y resolver el cumplimiento de la protección de datos.
8. Bases de procesamiento
8.1. La Empresa documentará en el Registro las bases legales para el procesamiento de datos para las actividades de procesamiento individuales.
8.2. Al indicar la base legal general (consentimiento, contrato, obligación legal, intereses vitales, tarea pública/autoridad pública, finalidad legítima de la Empresa), la Empresa especifica la base de manera legible cuando sea necesario. Por ejemplo, para el consentimiento que indica su alcance, cuando la base es la ley – indicando una disposición específica y otros documentos, por ejemplo, un contrato, acuerdo administrativo, intereses vitales – indicando las categorías de eventos en los que se materializarán, una finalidad legítima – indicando un fin específico, por ejemplo, marketing propio, vías de recurso.
8.3. La Empresa implementa métodos de gestión de consentimientos que permiten el registro y la verificación del consentimiento de una persona para el procesamiento de datos específicos para un fin específico, el consentimiento para la comunicación a distancia (correo electrónico, teléfono, SMS, etc.) y el registro de rechazo de consentimiento, retiro de consentimiento y actividades similares (objeción, restricción etc.).
8.4. El jefe de la unidad organizativa de la Empresa debe conocer la base legal sobre la cual la unidad que dirige realiza las actividades específicas de procesamiento de datos personales. Si la base es el interés legítimo de la Empresa, se requiere que el jefe de la unidad conozca el interés concreto de la Empresa para el procesamiento.
9. Método de gestión de derechos individuales y obligaciones de información.
9.1. La Empresa se preocupa por la legibilidad y el estilo de la información proporcionada y la comunicación con las personas cuyos datos procesa.
9.2. La Empresa facilita que las personas ejerzan sus derechos a través de diversas actividades, que incluyen: colocar en el sitio web de la Empresa información o referencias (enlaces) a información sobre los derechos de las personas, cómo ejercerlos ante la Empresa, incluidos los requisitos de identificación, los métodos de contacto con la Empresa, incluidos la finalidad, etc.
9.3. La empresa garantizará el cumplimiento de los plazos legales a fin de cumplir con sus obligaciones hacia las personas.
9.4. La Empresa introduce métodos adecuados de identificación y autenticación de personas con el fin de ejercer derechos individuales y obligaciones de información.
9.5. Para ejercer los derechos individuales, la Empresa garantizará procedimientos y mecanismos para identificar datos específicos procesados por la Empresa, integrar estos datos, realizar cambios y eliminarlos de manera integrada,
9.6. La Empresa documentará la realización de las obligaciones de información, notificaciones y solicitudes de personas.
10. Obligaciones de información
10.1. La Empresa define formas legales y efectivas de cumplir con las obligaciones de información.
10.2. La Empresa informará a la persona sobre la extensión de la fecha límite para responder a la solicitud de la persona por un tiempo superior a un mes.
10.3. La Empresa informará a la persona sobre el procesamiento de sus datos en el momento de obtenerlos.
10.4. La Empresa informará a la persona sobre el procesamiento de sus datos cuando obtiene los datos sobre dicha persona, no directamente de ella.
10.5. La Empresa define la manera de informar a las personas sobre el procesamiento de datos no identificados, siempre que sea posible (por ejemplo, una placa informando que el área está siendo registrada por cámaras de seguridad).
10.6. La Empresa informará a la persona sobre un cambio planeado en la finalidad del procesamiento de datos.
10.7. La Empresa informará a la persona antes de levantar la restricción de procesamiento.
10.8. La Empresa informará a los destinatarios de los datos sobre la rectificación, eliminación o limitación del procesamiento de datos (a menos que requiera un esfuerzo desproporcionado o sea imposible).
10.9. La Empresa informará a la persona sobre el derecho a oponerse al procesamiento de datos como muy tarde, durante el primer contacto con esa persona.
10.10. La Empresa notifica a la persona sin demora indebida de una violación de la protección de datos personales, en el caso de que pudiese causar un alto riesgo de violar sus derechos o libertades.
11. Demandas de las personas
11.1. Derechos de terceros.
Al ejercer los derechos de las personas a las que se refieren los datos, la Empresa introduce garantías procesales para proteger los derechos y libertades de terceros. En particular, si recibe información confiable de que el cumplimiento de la solicitud de una persona (solicitud de una copia de los datos o el derecho a transferir datos) puede afectar negativamente los derechos y libertades de otras personas (por ejemplo, derechos relacionados con la protección de datos de otras personas, derechos de propiedad intelectual, secretos comerciales, derechos personales, etc.), la Empresa puede solicitar a la persona que aclare las dudas o tomar otras medidas legales, incluso rechazar la solicitud.
11.2. Falta de procesamiento.
La Empresa informará a la persona que no procesa los datos que le conciernen si la persona ha presentado una demanda relacionada con sus derechos.
11.3. Rechazo.
La Empresa informará a la persona, en el plazo de un mes desde la recepción de la solicitud, sobre el rechazo de la solicitud y de los derechos de la persona correspondientes.
11.4. Acceso a los datos.
A solicitud de la persona con respecto al acceso a sus datos, la Empresa informará a la persona si procesa sus datos e informará a la persona sobre los detalles del procesamiento, de conformidad con el art. 15 del RGPD (el alcance corresponde a la obligación de información al recopilar datos), y también le otorga a la persona acceso a los datos que le conciernen. El acceso a los datos puede hacerse emitiendo una copia de los datos, con la condición de que la Empresa no considere esta copia de los datos emitida como la primera copia gratuita de los datos, a los efectos de los pagos en concepto de copia de datos.
11.5. Copia de los datos.
A solicitud de la persona, la Empresa emitirá una copia de los datos relacionados con ella y toma nota del hecho de emitir la primera copia. La Empresa implementa y mantiene una lista de precios por las copias de datos, según la cual cobra tarifas por las siguientes copias de datos. El precio de una copia de los datos se calcula en función del coste unitario estimado de gestionar la solicitud de una copia de los datos.
11.6. Corrección de datos.
La Empresa corrige datos incorrectos a solicitud de la persona. La Empresa tiene derecho a negarse a corregir los datos, a menos que la persona demuestre razonablemente las inexactitudes de los datos que solicita rectificar. Si se corrigen los datos, la Empresa informará a la persona sobre los destinatarios de los datos, a solicitud de esa persona.
11.7. Complementación de datos.
La Empresa complementa y actualiza los datos a solicitud de la persona. La Empresa tiene el derecho de negarse a complementar los datos si la complementación fuera incompatible con la finalidad del procesamiento de datos (por ejemplo, la Empresa no tiene que procesar datos que sean innecesarios). La Empresa puede basarse en la declaración de la persona con respecto a los datos que se complementan, a menos que sea insuficiente a la luz de los procedimientos adoptados por la Empresa (por ejemplo, con respecto a la adquisición de dichos datos), los derechos o haya motivos para considerar que la declaración no es confiable.
11.8. Supresión de datos.
A solicitud de la persona, la Empresa suprimirá los datos cuando:
(1) los datos no son necesarios para los fines para los que fueron recopilados ni son procesados para otros fines,
(2) se ha retirado el consentimiento para su procesamiento, y no hay otra base legal para el procesamiento,
(3) la persona ha presentado su oposición al procesamiento de estos datos,
(4) los datos fueron procesados ilegalmente,
(5) la necesidad de eliminar resultados derivada de una obligación legal,
(6) la solicitud está relacionada con los datos de un niño recopilados sobre la base del consentimiento para la prestación de servicios de la sociedad de la información ofrecidos directamente al niño (por ejemplo, el perfil del niño en una red social, participación en un concurso online).
La Empresa determina cómo ejecutar el derecho a suprimir datos, de tal manera que se garantice la implementación efectiva de este derecho, respetando todos los principios de protección de datos, incluida la seguridad, así como también verificando que no haya excepciones de las mencionadas en el art. 17. apartado 3 del RGPD.
Si la Empresa ha hecho públicos los datos que debe suprimir, la Empresa toma medidas razonables, incluidas medidas técnicas, para informar a otros administradores que procesan estos datos personales, sobre la necesidad de eliminar estos datos y el acceso a ellos. En caso de suprimir los datos, la Empresa informará a la persona sobre los destinatarios de los datos, a solicitud de esa persona.
11.9. Limitación de procesamiento.
La empresa limita el procesamiento de los datos a solicitud de la persona cuando:
a) la persona cuestiona la exactitud de los datos, durante el período que permita verificar su exactitud,
b) el procesamiento sea ilegal y la persona cuyos datos se procesan se niega a la supresión de datos personales, exigiendo en cambio que se limite su uso,
c) la Empresa ya no necesite los datos personales, pero la persona cuyos datos se procesan los necesita para establecer, exigir o defender reclamaciones,
d) la persona se ha opuesto al procesamiento por razones relacionadas con su situación particular, hasta que se determine si la Empresa ha justificado legalmente motivos superiores a los motivos de la oposición. Durante la limitación del procesamiento, la Empresa almacena los datos, pero no los procesa (no los usa ni transfiere) sin el consentimiento de la persona, a menos que establezca, exija o defienda reclamaciones, o para proteger los derechos de otra persona física o jurídica, o por razones importantes de interés público. La Empresa informará a la persona antes de terminar la limitación de procesamiento. Si el procesamiento de datos está limitado, la Empresa informará a la persona sobre los destinatarios de los datos, a solicitud de esa persona.
11.10. Transferencia de datos.
A solicitud de la persona, la Empresa emitirá en un formato estructurado, de uso común, legible por máquina o transferirá a otra entidad, si es posible, datos sobre esa persona que fueron proporcionados a la Empresa, procesados sobre la base del consentimiento de esa persona o con el fin de concluir o realizar un contrato con ella, en los sistemas informáticos de la Empresa.
11.11. Oposición en una situación especial.
Si la persona presenta una oposición (motivada por su situación especial) al procesamiento de sus datos, y los datos son procesados por la Empresa con base en el interés legítimo de la Empresa o en la tarea encomendada a la Empresa en interés público, la Empresa tendrá en cuenta la oposición, a menos que existan motivos válidos legalmente justificados por parte de la Empresa para procesarlos, superiores a los intereses, derechos y libertades de la persona que presenta una oposición, o motivos para establecer, exigir o defender reclamaciones.
11.12. Oposición al marketing directo.
Si la persona se opone al procesamiento de sus datos por parte de la Empresa con fines de
marketing directo (incluyendo posiblemente la elaboración de perfiles), la Empresa aceptará la oposición y detendrá dicho procesamiento.
11.13. Derecho a la intervención humana en el procesamiento automático.
Si la Empresa procesa datos automáticamente, incluyendo, en particular, la elaboración de perfiles de personas y, en consecuencia, toma decisiones respecto a la persona que causan efectos legales o que afectan significativamente a la persona, la Empresa ofrecerá la oportunidad de solicitar la intervención y decisión humanas por parte de la Empresa, a menos que dicha decisión automática (i) sea necesaria para la celebración o ejecución de un contrato entre el apelante y la Empresa; o (ii) esté expresamente permitido por la ley; o (iii) se base en el consentimiento explícito de la persona apelante.
12. MINIMIZACIÓN
La Empresa asegura la minimización del procesamiento de datos en términos de:
(i) adecuación de los datos para los fines (cantidad de datos y alcance del procesamiento),
(ii) acceso a los datos,
(iii) tiempo de almacenamiento de datos.
12.1. Minimización del alcance.
La Empresa ha verificado el alcance de los datos obtenidos, el alcance de su procesamiento y la cantidad de datos procesados en términos de adecuación para el procesamiento como parte de la implementación del RGPD. La Empresa realizará una revisión periódica de la cantidad de datos procesados y el alcance de su procesamiento al menos una vez al año. La Empresa verifica los cambios en la cantidad y el alcance del procesamiento de datos como parte de los procedimientos de gestión de cambios ( privacy by design).
12.2. Minimización del acceso
La Empresa aplica restricciones al acceso a datos personales: legales (obligaciones de confidencialidad, alcance de las autorizaciones), físicas (zonas de acceso, cierre de habitaciones) y lógicas (restricciones a los derechos de los sistemas de procesamiento de datos personales y recursos de red en los que residen los datos personales). La Empresa implementa el control de acceso físico. La Empresa actualiza los derechos de acceso cuando hay cambios en la composición del personal y cambios en las funciones de las personas, así como cambios en las entidades procesadoras. La Empresa revisa periódicamente los usuarios establecidos del sistema y los actualiza al menos una vez al año. Las reglas detalladas para controlar el acceso físico y lógico se encuentran en los procedimientos de seguridad física y seguridad de la información de la Empresa.
12.3. Minimización de tiempo
La Empresa implementa mecanismos para controlar el ciclo de vida de los datos personales en la Empresa, incluida la verificación de la utilidad adicional de los datos en relación con las fechas y los puntos de control indicados en el Registro.
Los datos cuyo alcance de uso es limitado con el paso del tiempo se eliminan de los sistemas de producción de la Empresa, así como de los archivos básicos y principales. Dichos datos pueden archivarse y pueden estar en copias de seguridad del sistema y de información procesada por la Empresa. Los procedimientos para archivar y usar archivos, crear y usar copias de seguridad tienen en cuenta los requisitos del control del ciclo de vida de los datos, incluidos los requisitos de supresión de datos.
13. SEGURIDAD
La Empresa proporciona un grado de seguridad correspondiente al riesgo de violación de los derechos y libertades de las personas físicas como resultado del procesamiento de datos personales por parte de la Empresa.
13.1. Análisis de riesgos y adecuación de las medidas de seguridad.
La Empresa realizará y documentará análisis de la adecuación de las medidas de seguridad de datos personales.
Para ello:
(1) La Empresa garantizará un nivel adecuado de conocimiento sobre la seguridad de la información, ciberseguridad y continuidad de la actividad; internamente o con la ayuda de entidades especializadas.
(2) La Empresa clasificará los datos y las actividades de procesamiento en función del riesgo que presentan.
(3) La Empresa realizará análisis del riesgo de violación de los derechos o libertades de las personas físicas para las actividades de procesamiento de datos o categorías de los mismos. La Empresa analizará posibles situaciones de violación de datos personales teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento, el riesgo de violación de los derechos o libertades de las personas físicas con diferente probabilidad y gravedad de la amenaza.
(4) La Empresa determina las posibles medidas de seguridad organizativas y técnicas evaluando el coste de su implementación; determina la idoneidad, y aplica medidas y enfoques como:
(i) seudonimización,
(ii) cifrado de datos personales,
(iii) otras medidas de ciberseguridad que constituyen la capacidad de garantizar continuamente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento,
(iv) medidas para garantizar la continuidad de actividad y prevenir los efectos de los desastres, es decir, la capacidad de restaurar rápidamente la disponibilidad de datos personales y el acceso a ellos en caso de un incidente físico o técnico.
13.2. Evaluaciones de impacto para la protección de datos
La Empresa evalúa el impacto de las operaciones de procesamiento planificadas en la protección de datos personales donde, de acuerdo con el análisis de riesgos, el riesgo de violar los derechos y libertades de las personas sea elevado. La Empresa aplica la metodología de evaluación del impacto adoptada en la Empresa.
13.3. Medidas de seguridad
La Empresa aplica medidas de seguridad establecidas como parte del análisis de riesgos y la adecuación de las medidas de seguridad y la evaluación de impacto para la protección de datos. Las medidas de seguridad de datos personales forman parte de las medidas de seguridad de la información y garantizan la seguridad cibernética en la Empresa y se
describen con más detalle en los procedimientos adoptados por la Empresa para estas áreas.
13.4. Notificación sobre violaciones.
La Empresa aplica los procedimientos para identificar, evaluar e informar sobre una violación de datos identificada notificando a la Autoridad de Protección de Datos dentro de las 72 horas posteriores al descubrimiento de la violación.
14. ENTIDAD PROCESADORA
La Empresa posee normas para la selección y verificación de entidades procesadoras de datos para la Empresa, desarrolladas para garantizar que estas entidades proporcionen garantías suficientes para la implementación de medidas organizativas y técnicas apropiadas para garantizar la seguridad, la implementación de los derechos individuales y otras obligaciones de protección de datos en la Empresa. La Empresa ha adoptado requisitos mínimos para el contrato de encomienda del procesamiento de datos que constituye el Anexo 2 de la Política: «Modelo de contrato de encomienda del procesamiento de datos». La Empresa verifica a las entidades procesadoras en cuanto al uso de subprocesadores, así como en otros requisitos derivados de las Reglas para confiar datos personales.
15. EXPORTACIÓN DE DATOS
La Empresa se inscribe en el Registro casos de exportación de datos, es decir, transferencia de datos fuera del Espacio Económico Europeo (EEE en 2017 = Unión Europea, Islandia, Liechtenstein y Noruega). Para evitar situaciones de exportación de datos no autorizadas, en particular en relación con el uso de servicios en la nube disponibles públicamente (shadow IT), la Empresa verifica periódicamente el comportamiento de los usuarios y, si es posible, presenta soluciones equivalentes de protección de datos.
16. DISEÑO DE PRIVACIDAD
La Empresa gestiona el cambio que afecta la privacidad de tal manera que permita garantizar la seguridad adecuada de los datos personales y minimizar su procesamiento. Con este fin, los principios de los proyectos e inversiones de la Empresa se refieren a los principios de seguridad y minimización de datos personales, que requieren una evaluación del impacto sobre la privacidad y la protección de datos, incluida la seguridad diseñada y minimizando el procesamiento de datos desde el comienzo del proyecto o inversión.
17. DISPOSICIONES FINALES
Todo usuario, antes de comenzar a trabajar con un sistema de TI que procese datos personales o archivos de datos personales en una versión en papel, debe recibir formación en la protección de datos personales en archivos electrónicos y en papel. El Supervisor de Datos Personales es el responsable de realizar dicha formación. La persona que procesa los datos personales hace una declaración que incluye el compromiso de cumplir con los principios de protección de datos personales.