Política de privacidad
1. INTRODUCCIÓN
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), y por el que se deroga de la Directiva 95/46/CE, tiene por objeto armonizar los tratamientos de datos personales de todos los ciudadanos de los Estados miembros mediante la aplicación de una norma única, que garantice un nivel coherente de protección de las personas en toda la UE, así como evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior.
El RGPD proporciona seguridad jurídica y transparencia a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones protegidos jurídicamente y el mismo nivel de responsabilidades para los Responsables y Encargados de Tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales. Asimismo, proporciona sanciones equivalentes para todos los Estados miembros, así como también la cooperación efectiva de las Autoridades de Control.
La publicación del RGPD conlleva la derogación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, a los dos años de la fecha de su entrada en vigor.
En España, el RGPD se ha desarrollado mediante la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales publicada en el Boletín Oficial del Estado.
El objeto del presente documento es recopilar la normativa de Yoko Campers, S.L. referente a las medidas de seguridad de aplicación a las operaciones de tratamiento realizadas por ésta. Las normas que se establecen en el mismo, serán consideradas de obligado cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable y, al mismo tiempo, flexible, en lugar de una descripción estática, por la que se vería sometido a continuas actualizaciones. En esta línea, el documento incluye referencias a otros documentos que conforman la política de seguridad establecida en la organización y, en ocasiones, en lugar de incluir relaciones estáticas se describe el procedimiento para obtener las citadas relaciones en el momento en que sean necesarias.
El presente documento se mantendrá en todo momento actualizado por el Delegado de Protección de Datos y en su defecto, por el Responsable de Privacidad. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de Yoko Campers, S.L..
Del mismo modo, las Medidas y Procedimientos, se adecuarán en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.
2. ÁMBITO DE APLICACIÓN DE LAS MEDIDAS Y PROCEDIMIENTOS
Las distintas Medidas y Procedimientos desarrollados en este documento, tienen como finalidad proteger el tratamiento de datos personales de toda persona física en el transcurso de su actividad profesional o comercial, para cuando esos datos sean tratados de forma automatizada o manual por parte de un tercero, ya sea en calidad de Responsable o de Encargado de Tratamiento, en el desarrollo de su actividad profesional o laboral dentro del territorio de la Unión Europea.
A su vez, también pretende dotar de seguridad todas aquellas actuaciones relacionadas con el tratamiento de datos personales que lleve a cabo Yoko Campers, S.L. en el desarrollo de sus actuaciones, para que esta pueda desempeñar sus funciones con normalidad y estando acorde con las normativas vigentes en materia de protección de datos.
Para ello, las Medidas y Procedimientos que se detallan, buscan proteger la privacidad y confidencialidad de todas aquellas categorías de datos susceptibles de tratamiento. Estos datos de carácter personal pueden encontrarse contenidos en ficheros, aplicaciones, herramientas de actualización y consulta, recursos del sistema informático, redes de telecomunicaciones, soportes y equipos informáticos que sean o puedan ser susceptibles de ser gestionados por Yoko Campers, S.L. o sus Encargados de Tratamiento.
Yoko Campers, S.L. ha establecido una relación de recursos protegidos, a los cuales les serán de aplicación todas las Medidas y Procedimientos previstos en este documento.
3. RECURSOS PROTEGIDOS Y REGISTRO DE ACTIVIDADES
Los recursos protegidos comprendidos dentro del ámbito de aplicación de este documento lo conforman todos los datos de carácter personal que componen las categorías de datos desarrollados en la normativa vigente en materia de protección de datos, así como las aplicaciones y sistemas que los tratan, los equipos informáticos que los soportan y los locales donde se ubican.
Son, por tanto, los diferentes conjuntos de datos que trata Yoko Campers, S.L. en el desempeño de su actividad empresarial. El RGPD establece la obligatoriedad de identificar los diferentes recursos protegidos para proceder a establecer una política de calidad en cada uno de ellos. Adicionalmente se han establecido niveles de protección en función del tipo de dato que se maneja:
ANTES | AHORA |
Ley Orgánica de Protección de Datos | Reglamento Europeo de Protección de Datos |
Nivel Básico | Categorías de datos que no requieren identificación |
Nivel Medio | Categorías de datos relativos a condenas y delitos penales |
Nivel Alto | Categorías especiales de datos personales |
Categorías especiales de datos personales: son los datos personales que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como los datos genéticos, los datos biométricos que permiten la identificación unívoca de una persona (huella) y los datos relativos a la salud o la vida y orientación sexual de la persona.
Categorías de datos relativos a condenas y delitos penales: lo forman todos aquellos datos personales relativos a condenas y a delitos penales, relativos a la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Categorías de datos meramente identificativos: conjunto de datos para los cuales un responsable somete a tratamiento datos personales que no requieren la identificación de un interesado.
A continuación, se describen los recursos de Yoko Campers, S.L. que contienen datos de carácter personal y que componen las distintas categorías de datos utilizados por Yoko Campers, S.L. y que son objeto de regulación en las presentes Medidas y Procedimientos.
CLIENTES
Base jurídica | 6.1. a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. 6.1. b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte; o para la aplicación a petición del interesado de medidas precontractuales. |
Fines del tratamiento | Facturación y gestión administrativa. Fines comerciales (consentimiento adicional). |
Categorías de Datos | Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, firma, teléfono, correo electrónico. |
Categoría destinatarios | Entidades bancarias y Hacienda Pública o Autonómica. |
Transferencias internacionales | No están previstas transferencias internacionales de los datos o no a países de fuera de la UE o que no ofrezcan un nivel equivalente de protección. |
Plazo supresión | Los datos personales serán conservados durante la prestación del servicio y durante el tiempo legal establecido. |
Medidas de seguridad | Los datos en soporte físico se encuentran accesibles sólo al personal autorizado Los datos en soporte informático contendrán las medidas de seguridad requeridas por la normativa vigente (usuarios y contraseñas de acceso a ordenadores, perfiles limitados por necesidades laborales en programas de gestión y servidores, etc.). |
EMPLEADOS
Base jurídica | 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. |
Fines del tratamiento | Gestión de la relación laboral. |
Categorías de Datos | Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, número de Seguridad Social/Mutualidad, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnósticos), afiliación sindical, a los exclusivos efectos del pago de cuotas sindicales (en su caso), representante sindical (en su caso), justificantes de asistencia de propios y de terceros. |
Categoría destinatarios | Se prevén cesiones a asesores laborales para la confección de las nóminas, documentación laboral, etc. |
Transferencias internacionales | No están previstas transferencias internacionales de los datos o no a países de fuera de la UE o que no ofrezcan un nivel equivalente de protección. |
Plazo supresión | Los datos personales serán conservados durante la relación laboral se debe guardar un mínimo de 4 años desde el fin de la relación laboral. |
Medidas de seguridad | Los datos en soporte físico se encuentran accesibles sólo al personal autorizado Los datos en soporte informático contendrán las medidas de seguridad requeridas por la normativa vigente (usuarios y contraseñas de acceso a ordenadores, perfiles limitados por necesidades laborales en programas de gestión y servidores, etc.). |
CURRICULUMS
Base jurídica | 6.1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. |
Fines del tratamiento | Selección de personal y provisión de puestos de trabajo mediante convocatorias y solicitantes. |
Categorías de Datos | Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, dirección, firma y teléfono. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo. |
Categoría destinatarios | No se prevén cesiones a terceros salvo que exista obligación legal. |
Transferencias internacionales | No están previstas transferencias internacionales de los datos o no a países de fuera de la UE o que no ofrezcan un nivel equivalente de protección. |
Plazo supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Medidas de seguridad | Los datos en soporte físico se encuentran accesibles sólo al personal autorizado Los datos en soporte informático contendrán las medidas de seguridad requeridas por la normativa vigente (usuarios y contraseñas de acceso a ordenadores, perfiles limitados por necesidades laborales en programas de gestión y servidores, etc.). |
VIDEOVIGILANCIA
Base jurídica | 6.1.f) T el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. 6.1.C) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. |
Fines del tratamiento | Control empresarial y/o seguridad interna. |
Categorías de Datos | Imágenes. |
Categoría destinatarios | No se prevén cesiones a terceros salvo que exista obligación legal. |
Transferencias internacionales | No están previstas transferencias internacionales de los datos o no a países de fuera de la UE o que no ofrezcan un nivel equivalente de protección. |
Plazo supresión | Los datos personales se conservarán durante un plazo máximo de 1 mes salvo que exista conocimiento del inicio de un procedimiento administrativo que obligue a conservar las imágenes (denuncias, reclamaciones de daños a compañías de seguros, etc. |
Medidas de seguridad | Los datos en soporte físico se encuentran accesibles sólo al personal autorizado Los datos en soporte informático contendrán las medidas de seguridad requeridas por la normativa vigente (usuarios y contraseñas de acceso a ordenadores, perfiles limitados por necesidades laborales en programas de gestión y servidores, etc.). |
USUARIOS WEB
Base jurídica | 6.1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. 6.1.f) T el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. |
Fines del tratamiento | La atención al usuario, tanto administrativa como comercial. Responder a las consultas planteadas en los formularios de contacto Suscripción a boletines informativos. |
Categorías de Datos | Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, firma y teléfono. Otros datos: Aquéllos que puedan estar incluidos en la consulta. |
Categoría destinatarios | No se prevén cesiones a terceros salvo que exista obligación legal. |
Transferencias internacionales | No están previstas transferencias internacionales de los datos o no a países de fuera de la UE o que no ofrezcan un nivel equivalente de protección. |
Plazo supresión | Los datos personales serán conservados durante la prestación del servicio y en cumplimiento de las obligaciones legales. |
Medidas de seguridad | Los datos en soporte físico se encuentran accesibles sólo al personal autorizado Los datos en soporte informático contendrán las medidas de seguridad requeridas por la normativa vigente (usuarios y contraseñas de acceso a ordenadores, perfiles limitados por necesidades laborales en programas de gestión y servidores, etc.). |
4. IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO
El responsable del tratamiento será siempre la empresa o profesional propietario de la información.
Sus obligaciones será custodiar adecuadamente la información y tratar debidamente los datos, tanto a nivel informático como a nivel físico.
Denominación Social | NIF | Dirección | Actividad |
Yoko Campers, S.L. | B97380521 | Avenida Barcelona, 49, 46136, Museros | Alquiler vehículos camper sin conductor. |
5. ESTRUCTURA Y ROLES EN EL ÁMBITO DE LA PRIVACIDAD
De acuerdo con todo aquello previsto en la normativa vigente de protección de datos, Yoko Campers, S.L., a fin de organizar y gestionar adecuadamente sus políticas de protección de datos, ha estructurado su organización en base a distintos roles, a los cuales se les atribuyen distintas funciones en materia de privacidad.
5.1. FUNCIONES Y OBLIGACIONES DEL PERSONAL
A fin de establecer las funciones atribuidas a cada rol de privacidad, Yoko Campers, S.L. las ha definido tal y como se describe a continuación:
- Delegado de Protección de Datos: se encargará de coordinar las medidas de seguridad definidas en el presente manual de Medidas y Procedimientos. Esta delegación, sin embargo, no exime de la responsabilidad jurídica en lo que refiere a seguridad de los datos, que sigue recayendo sobre el Responsable de Tratamiento.
Funciones específicas atribuidas:
- Asesorar e informar a Yoko Campers, S.L. de las obligaciones que le incumben en materia de privacidad.
- Supervisar el cumplimiento normativo de Yoko Campers, S.L. en el tratamiento de datos personales.
- Supervisar la implementación y aplicación de las políticas de Yoko Campers, S.L. en materia de protección de datos personales.
- Supervisar el análisis de las operaciones de tratamiento de datos personales.
- Supervisar el análisis de las categorías de datos que trata la Organización.
- Supervisar el análisis de los riesgos que puedan derivarse de las operaciones de tratamiento llevadas a cabo por Yoko Campers, S.L..
- Facilitar el asesoramiento al Responsable de Privacidad en materia de protección de datos.
- Impartir el plan formativo al personal de Yoko Campers, S.L. que realice tratamiento de datos.
- Intermediar entre Yoko Campers, S.L. y la Autoridad de Control.
- Realizar las notificaciones requeridas por la Autoridad de Control.
- Supervisar la realización de la Evaluación de Impacto de protección de datos personales.
- Supervisar la realización de las auditorías correspondientes.
- Responsable de Privacidad o de Seguridad: será la persona designada por el Delegado de Protección de Datos o en su defecto, por la dirección de Yoko Campers, S.L. para coordinar todos los aspectos relacionados y definidos en las presentes Medidas y Procedimientos.
Funciones específicas atribuidas:
- Actualizar el manual de Medidas y Procedimientos y adecuación del mismo a la normativa vigente.
- Implantar el plan de formación en materia de protección de datos para los empleados.
- Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias que pudieran incurrir en caso de incumplimiento.
- Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la entidad.
- Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos.
- Mantener una relación del personal con acceso autorizado al lugar donde se almacenan las copias de seguridad.
- Mantener una relación del personal autorizado para acceder a los locales donde se encuentren ubicados los sistemas de información.
- Establecer protocolos de comunicación con el Delegado de Protección de Datos por parte de los empleados.
- Adoptar protocolos para el cumplimiento de las medidas de seguridad.
- Realizar protocolos para el diseño de flujos de tratamiento de datos.
- Informar de las consecuencias del incumplimiento del manual de Medidas y Procedimientos.
- Responsable de sistemas: se encargará de administrar o mantener el entorno operativo de las categorías de datos. Se relacionará explícitamente a este personal, ya que por sus tareas desarrolladas pueden utilizar herramientas de administración que permitan el acceso a datos no requeridos para sus tareas, en el caso de no haberse creado este rol dentro de la entidad, sus obligaciones recaerán sobre el Delegado de Protección de Datos.
Funciones específicas atribuidas:
- Será el responsable de administrar y mantener el entorno operativo de las categorías de datos.
- Supervisar la correcta instalación del software de acceso a las categorías de datos.
- Supervisar la configuración del sistema informático de la organización, con especial atención a las conexiones de red local, así como cualquier otra conexión externa.
- Establecer mecanismos que impidan el acceso al sistema desde cualquier punto, ya sea local o remoto, no autorizado. Velando por la implantación de tantas medidas de seguridad como las aprobadas en el presente manual de Medidas y Procedimientos.
- Mantener una relación del personal autorizado con acceso al sistema, anotando aquellos requisitos mínimos establecidos en el manual de Medidas y Procedimientos.
- Implantar todas aquellas medidas necesarias, previstas en el manual de Medidas y Procedimientos, en lo que refiere a pruebas con datos reales.
- Comunicar al Responsable de Tratamiento, o en su caso al personal al cual se haya delegado, todos aquellos cambios que puedan resultar significativos del entorno del sistema informático.
- Responsables administrativos de los sistemas de tratamiento: se encargarán de administrar y coordinar el cumplimiento de medidas técnicas y organizativas, así como de cualquier obligación legal que se desprenda del tratamiento de los mismos. En el caso de no haberse creado el presente lugar de trabajo, sus obligaciones recaerán sobre el Responsable de Privacidad.
- Usuarios del sistema: serán aquellos que usualmente utilizan el sistema de información, tanto a nivel de categorías de datos automatizadas como de no automatizadas.
- Empleados sin acceso a tratamientos automatizados: personal que desarrolla tareas en Yoko Campers, S.L., pero que por sus funciones no requiere de acceso al sistema informático.
Yoko Campers, S.L. designará a un Delegado de Protección de Datos, atendiendo a sus cualidades profesionales y conocimientos especializados de la legislación y prácticas en materia de protección de datos. En ausencia de este cargo, sus funciones serán asumidas por el Responsable de Privacidad o Seguridad o en su defecto por el representante legal de Yoko Campers, S.L..
En todo caso, la dirección de Yoko Campers, S.L. velará y respaldará que el Delegado de Protección de Datos participe adecuada y debidamente en todas las cuestiones relativas a la protección de datos personales, facilitando tanto los recursos necesarios para el desempeño de dichos cometidos, como el acceso a los datos personales y a las operaciones de tratamiento, así como para mantener sus conocimientos especializados.
Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para tratar todas las cuestiones relativas al tratamiento de datos que les corresponda y al ejercicio de los derechos que les confiere la normativa vigente en protección de datos.
Ciertas de las funciones que se atribuyen al Delegado de Protección de Datos, podrán ser delegadas a otros empleados designados al efecto, siempre y cuando se haga constar en el manual de Medidas y Procedimientos a las personas habilitadas para otorgar estas delegaciones, así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable de Tratamiento.
6. PROTOCOLOS PARA EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD
REGISTRO DE LAS CATEGORÍAS DE ACTIVIDADES DE TRATAMIENTO
De conformidad con la normativa vigente en materia de protección de datos, Yoko Campers, S.L. y, en su caso su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
- El nombre y los datos de contacto de Yoko Campers, S.L. y, en su caso, del corresponsable, del representante de Yoko Campers, S.L., y de su Delegado de Protección de Datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional.
Con el objeto de cumplir con esta obligación, Yoko Campers, S.L. ha diseñado e implantado, un registro de las actividades de tratamiento de los datos personales de las que es responsable.
Las actividades de tratamiento de datos, que se relacionan a continuación son responsabilidad de Yoko Campers, S.L., con domicilio en Avenida Barcelona, 49, 46136, Museros. El representante legal es Esther Pérez Amer.
NORMATIVA DE SEGURIDAD
Yoko Campers, S.L. ha realizado una Evaluación de Impacto y su respectivo mapa de riesgos de sus procedimientos de tratamiento de datos personales. Considerando los resultados de los mismos ha aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo plasmado en la Evaluación de Impacto. Estas medidas de seguridad consideran, en especial los siguientes aspectos:
- Se han tenido particularmente en cuenta los riesgos que presentan los tratamientos de datos, de acuerdo con los tratamientos previstos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- Yoko Campers, S.L. ha tomado todas aquellas medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo las instrucciones previstas en este documento.
Para garantizar el nivel de protección adecuado y exigido por la normativa vigente en protección de datos, en Yoko Campers, S.L. serán de aplicación las siguientes normas, procedimientos y estándares relacionados con la seguridad de los datos de los sistemas de Yoko Campers, S.L..
- Acceso a datos a través de redes de comunicación
Cuando en Yoko Campers, S.L. existan Encargados de Tratamiento que tengan permitido el acceso remoto a sus sistemas de información, estas conexiones deberán permitir la aplicación de las mismas medidas de seguridad, equivalentes a una conexión en área local, medidas descritas en las presentes Medidas y Procedimientos. - Categorías especiales de datos
En el momento en que Yoko Campers, S.L. trate datos personales de carácter especial, encriptará estos datos o bien utilizará cualquier otro mecanismo que garantice que la información no podrá ser inteligible ni manipulada por terceros. - Régimen de trabajo fuera de los locales de ubicación de los sistemas de tratamiento
En el caso de que se proceda a incorporar dispositivos portátiles en Yoko Campers, S.L. y que se proceda al tratamiento de datos en sus unidades lógicas, estos tratamientos deberán ser autorizados previamente por el Delegado de Protección de Datos.
Los empleados de Yoko Campers, S.L. que dispongan de un dispositivo portátil asignado, serán informados de la prohibición, excepto excepciones autorizadas, de almacenar datos de carácter personal en las unidades lógicas de los dispositivos portátiles y de la obligación de trabajar con datos de carácter personal únicamente sobre las unidades lógicas definidas en el servidor local. - Identificación y autenticación
El procedimiento seguido en Yoko Campers, S.L. para la identificación y autenticación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones está basado en la combinación de un código de identificación de usuario y una contraseña que el propio sistema informático cotejará en cada intento de acceso a fin de comprobar que dicho acceso sea autorizado o no.
A cada usuario le ha sido asignada una identificación única e intransferible tanto para el acceso al sistema como para el acceso a las aplicaciones.
En Yoko Campers, S.L. existe una política de asignación, distribución y almacenamiento de usuarios y contraseñas que garantiza su confidencialidad e integridad, estableciéndose en esta política también la periodicidad en la que será requerido el cambio de las contraseñas. - Control de acceso
Los usuarios de Yoko Campers, S.L. recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones.
El Responsable de Privacidad o aquellos empleados que les haya sido atribuida esta labor, determinarán las aplicaciones que serán accesibles para cada usuario.
Cuando para la prestación de un servicio a Yoko Campers, S.L. por parte de personal de terceras empresas, este personal tenga acceso a los recursos de Yoko Campers, S.L., estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de Yoko Campers, S.L.. - Gestión de soportes
En Yoko Campers, S.L. los soportes que contengan datos de carácter personal serán etiquetados permitiendo su identificación. Del mismo modo serán inventariados y almacenados en las instalaciones dónde se ubican los sistemas de información (servidores y equipos de comunicación). Este lugar se considerará de acceso restringido y sólo podrá ser accedido por el personal autorizado por el Responsable de Tratamiento.
Asimismo, en Yoko Campers, S.L. existen diferentes perfiles de empleados. Todos los empleados que requieren del acceso a soportes informáticos que contienen datos de carácter personal, les es autorizada en el momento de la firma del contrato laboral con la compañía. Incluso para el envío y recepción de correos electrónicos con documentos anexos.
De esta forma, se entenderá por autorizado el acceso a soportes a partir del momento que el empleado suscribe el contrato laboral con Yoko Campers, S.L..
Esta autorización se entenderá como vigente, siempre que el contrato laboral siga en vigor. En el momento que cese la relación laboral con el empleado se entenderá como extinguida la autorización. - Procedimientos de copias de seguridad y recuperación
Yoko Campers, S.L. ha establecido un procedimiento para la realización de copias de respaldo con periodicidad mínima semanal, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
El mencionado procedimiento para la recuperación de los datos debe garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción, afectase a categorías de datos o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se procederá a grabar manualmente los datos.
El procedimiento establece una verificación como mínimo semestral para asegurar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. - Inventario de aplicaciones informáticas
Yoko Campers, S.L. ha elaborado un inventario de aplicaciones informáticas con el fin de poder gestionar e indicar la ubicación de las categorías de datos existentes dentro de los sistemas informáticos. - Procedimientos de tratamientos no automatizados
Se entiende como tratamiento no automatizado todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales ya sea aquél centralizado, descentralizado, repartido de forma funcional o geográfica. De modo genérico se considerará tratamiento no automatizado a todo documento en el que se encuentren datos de carácter personal en formato no informático (facturas, presupuestos, albaranes, contratos, currículums vitae, etc…).
Serán de aplicación para las categorías de datos no automatizadas, las medidas de seguridad descritas anteriormente para las categorías de datos automatizadas. - Contratos de prestación de servicios
Yoko Campers, S.L. ha procedido a la contratación de distintos proveedores de servicios que realizan tratamientos de datos bajo su responsabilidad, Yoko Campers, S.L. ha documentado la “Relación de Encargados de Tratamiento”.
De estos deberá constar la siguiente información:
- Encargado de Tratamiento.
- Denominación Social.
- NIF.
- Fines del tratamiento.
- Categorías de interesados y categorías de datos personales.
- Medidas técnicas y organizativas de seguridad.
7. PROTOCOLOS DE COMUNICACIÓN CON EL DPO
De acuerdo con los Roles de Privacidad establecidos en el punto 5 de las presentes Medidas y Procedimientos, y con el objeto de establecer un canal fluido de comunicación con el DPO, se ha marcado un procedimiento para ello. En este sentido cualquier persona de la empresa podrá dirigirse al Delegado de Protección de Datos para sugerir, comunicar o consultar cualquier cuestión que haga referencia a las Medidas y Procedimientos de seguridad establecidas y que afecten a los datos personales que se quieran proteger en Yoko Campers, S.L.
Dicha comunicación con el DPO será potestativa en el caso de que se tengan sospechas o indicios de que se ha producido una violación o brecha de la seguridad de los datos personales que pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados y que podría ser susceptible de producir alguna de las situaciones siguientes:
- Problemas de discriminación.
- Usurpación de identidad o fraude.
- Pérdidas económicas.
- Menoscabo de la reputación.
- Pérdida de confidencialidad de datos sujetos al secreto profesional.
- Cualquier otro perjuicio económico o social significativo.
8. PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS Y VIOLACIONES O BRECHAS DE SEGURIDAD DE DATOS
Se considerarán incidencias y violación de la seguridad de datos, toda situación que comprometa la seguridad de los datos de carácter personal objeto de tratamiento, que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
En este sentido, Yoko Campers, S.L. registrará las incidencias que puedan afectar a la seguridad de los sistemas de información y que afecten a los datos personales objeto de tratamiento. Sin embargo, Yoko Campers, S.L. revisará cualquier normativa de desarrollo que pudiera afectar a la normativa vigente a fin de proceder a comunicar estas situaciones a la Autoridad de Control pertinente, sin demora injustificada y, a ser posible, a más tardar 72 horas después de tener constancia de ello; de no realizarse en dicho plazo deberá ir acompañado de una justificación motivada.
Esta comunicación deberá contener como mínimo los siguientes extremos:
- Descripción de la naturaleza de la violación de seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos de que se trate.
- Nombre y datos de contacto del Delegado de Protección de Datos y en su defecto del Responsable de Privacidad.
- Descripción de las posibles consecuencias de la violación de seguridad de los datos personales.
- Descripción de las medidas adoptadas por Yoko Campers, S.L., a fin de subsanar esta caída de seguridad de los sistemas de información, incluyendo, si procede, las adoptadas para mitigar los posibles efectos negativos.
En todo caso Yoko Campers, S.L. procederá a documentar cualquier incidencia, brecha o violación de seguridad de los datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación estará a disposición de la Agencia Española de Protección de Datos. Esta labor recaerá sobre el Delegado de Protección de Datos y, en su defecto, se responsabilizará el responsable de Privacidad o Seguridad.
El procedimiento establecido por Yoko Campers, S.L. preverá aquellas situaciones en las cuales sea probable que la violación de seguridad de los datos personales vaya a dar lugar a un alto riesgo para los derechos y libertades de los interesados. Yoko Campers, S.L. comunicará al interesado, sin demora injustificada, la violación de seguridad de los datos personales.
Esta describirá en un lenguaje claro y sencillo la naturaleza de la violación de seguridad de los datos personales y contendrá, al menos, la información y las recomendaciones comentadas anteriormente.
9. PROCEDIMIENTO DE GESTIÓN DE LOS DERECHOS DE LOS INTERESADOS
En la normativa vigente de protección de datos se regula tanto los derechos que puede ejercer el interesado como los mecanismos de ejercicio de tales derechos ante el Responsable de Tratamiento de los datos.
Los derechos que puede ejercer el interesado de los datos son los siguientes:
- Derecho de acceso: es el derecho del interesado a obtener del Responsable de Tratamiento confirmación de si se están tratando o no datos personales que le conciernen, y en caso de que se confirme el tratamiento se le deberá de facilitar el acceso a los datos y a la información de que dispone.
- Derecho de rectificación: el interesado tendrá derecho a obtener del Responsable de Tratamiento sin demora injustificada la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. Habida cuenta de los fines para los cuales se hayan tratado los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración adicional.
- Derecho a la limitación del tratamiento: es el derecho a obtener del Responsable de Tratamiento la limitación del tratamiento de datos personales.
- Derecho a la supresión (“derecho al olvido”): hace referencia al derecho del interesado a obtener del Responsable de Tratamiento la supresión de los datos personales que le conciernan sin demora injustificada, y el Responsable de Tratamiento tendrá la obligación de suprimir los datos personales sin demora injustificada cuando se cumplan con los requisitos exigidos en el artículo 17 del Reglamento.
- Derecho a la portabilidad de los datos: consiste en el derecho a recibir los datos personales que le incumban, que haya facilitado a un Responsable de Tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro Responsable de Tratamiento sin que lo impida el Responsable de Tratamiento al que se hubieran facilitado los datos.
- Derecho de oposición: el interesado podrá oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento para el cumplimiento de un interés público o para la satisfacción de un interés legítimo, inclusive la elaboración de perfiles sobre la base de dichas disposiciones.
Plazos de respuesta:
En este sentido, durante el periodo de transición de 2 años para la plena aplicación del RGPD, y tanto en cuanto no existan regulaciones nacionales al respecto, se entenderán como vigentes los derechos de acceso, rectificación, oposición y cancelación o supresión. Asimismo, se establecen los plazos de que dispone el Responsable de Tratamiento para resolver el ejercicio de los derechos anteriores por parte del interesado. Los plazos son los siguientes:
- El Responsable de Tratamiento facilitará al interesado el ejercicio de sus derechos y la información sobre las actuaciones solicitadas y realizadas sin demora y, a más tardar, en el plazo de un mes para el derecho de acceso, rectificación, oposición y cancelación o supresión, a partir de la recepción de la solicitud.
El interesado podrá ejercer sus derechos en materia de protección de datos de manera gratuita.
En estos casos será Yoko Campers, S.L. quien asumirá la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
En todo caso, toda solicitud deberá ir acompañada de:
- Nombre, apellidos del interesado y copia del DNI. En los excepcionales casos en que se admita la representación, será también necesaria la identificación por el mismo medio de la persona que le representa, así como el documento acreditativo de la representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho.
- Petición en que se concreta la solicitud. (Ejercicio que se solicita o información a la que se quiere acceder). Si no hace referencia a un fichero concreto se le facilitará toda la información que se tenga de la empresa a su nombre. Si solicita información de un fichero en concreto, sólo la información de este fichero. Si solicita información relativa a un tercero nunca se podrá facilitar. Si lo solicita por teléfono se le indicará que lo haga por escrito y se le informará de cómo lo puede hacer y la dirección a la que tiene que enviarlo. Nunca se le dará información por teléfono.
- Domicilio a efecto de notificaciones.
- Fecha y firma del solicitante.
- Documentos acreditativos de la petición que formula.
10. DERECHOS DIGITALES APROBADOS
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se aprobó a finales del 2018 y supuso el desarrollo del Reglamento General de Protección de Datos en España.
Esta normativa introdujo en España nuevos derechos digitales para el consumidor y usuarios que se describen a continuación.
- Derecho a la desconexión digital en el ámbito laboral: Se regula por primera vez en España el derecho de los trabajadores a no tener que estar obligatoriamente pendientes del móvil o del ordenador al término de su jornada laboral. Y a que las empresas promuevan acciones para evitar la fatiga informática de sus empleados.
Se deja a la negociación colectiva o a los acuerdos entre empresas y sindicatos las distintas modalidades de ejercicio de este derecho, en función de la naturaleza y objeto de la relación laboral. Pero, en todo caso, se deberá potenciar el derecho a la conciliación de la vida personal y laboral. Sobre todo, cuando la realización total o parcial del trabajo se realice a distancia o en el domicilio del empleado mediante herramientas tecnológicas. - Privacidad de empleados: Se regula también el derecho a la intimidad frente al uso de dispositivos de geolocalización, videovigilancia y grabación de sonidos en el lugar de trabajo. Prohíbe de forma expresa las grabaciones en lugares como vestuarios, aseos o comedores.
El uso de esos sistemas sólo se admitirá por parte de la empresa cuando haya un riesgo relevante para la seguridad de las instalaciones, bienes y personas, y siempre previa información a los trabajadores. Y el empresario únicamente podrá acceder a los contenidos de los medios digitales facilitados a sus empleados para controlar el cumplimiento de las obligaciones laborales y garantizar la integridad de esos dispositivos. - Derecho al olvido en Internet y redes sociales: En desarrollo del RGPD, esta nueva ley regula el derecho al olvido. Es decir, el derecho de toda persona a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y de la sociedad de la información equivalentes. Este derecho se hace también extensivo al olvido en búsquedas de Internet.
- Derecho a la educación digital y protección de menores: En esta normativa se establecen los 14 años como edad mínima a partir de la cual los menores pueden otorgar su consentimiento para tratar sus datos personales. En caso de menores de 14 años, el consentimiento deberán otorgarlo sus padres o tutores legales. Además, el uso o la difusión de imágenes o información personal de menores en redes sociales que puedan implicar una intromisión ilegítima en sus derechos fundamentales será causa de intervención del Ministerio Fiscal.
- Bono social de acceso a Internet: La ley establece el derecho de toda persona a acceder a Internet de forma universal, asequible y no discriminatoria, luchando contra:
- brechas de género
- generacionales
- por razón de discapacidad
- por lugar de residencia como el ámbito rural.
Para cumplir con este derecho se establecen distintas medidas.
Plan de acceso a Internet
El Gobierno debe elaborar un Plan de Acceso a Internet que incorpore también un bono social de acceso a Internet para facilitar ese acceso a aquellos entornos familiares y sociales económicamente desfavorecidos.
Derecho a la neutralidad de Internet
Los proveedores deben proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos. Y garantizar la seguridad de las comunicaciones que los usuarios bien reciban o bien transmitan a través de la red.
Derecho al testamento digital
Los familiares o herederos del fallecido pueden trasladar a los servicios de la sociedad de información la voluntad sobre el destino o la supresión de los datos, salvo que la persona fallecida lo hubiera prohibido expresamente.
- Informe anual: El Gobierno tendrá que presentar cada año un informe ante el Congreso de los Diputados. En él deberá informar sobre:
- Evolución de los derechos
- Garantías y mandatos contemplados en la ley
- Aquellas medidas necesarias para promover el impulso de los derechos digitales en España.