Política de Privacidad

INTRODUCCIÓN
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos; en adelante, RGPD), establece, entre otras disposiciones, los requisitos documentales necesarios para poder cumplir con el RGPD y poder ser capaz de demostrar dicho cumplimiento.
Entre la documentación mínima que debe dispone la entidad se encuentra:
• El Registro de Actividades de Tratamiento, tanto como responsable del tratamiento, como encargado del tratamiento, en su caso.
• Documentación del análisis de riesgos realizado.
• La/s Evaluación/es de Impacto relativa/s a la Protección de Datos, en su caso.
• Las medidas de seguridad implantadas.
• Las funciones y obligaciones del personal con acceso a datos personales.
• El registro de incidencias y el registro de las notificaciones de las violaciones de la seguridad a la Autoridad de Control, en su caso.
• Los protocolos de atención a los derechos de los interesados.
• Los compromisos de confidencialidad con los trabajadores.
• Los contratos de acceso a datos por cuenta de terceros.
• La documentación relativa a las transferencias internacionales de datos, así como las garantías apropiadas obtenidas o las excepciones utilizadas como base jurídica para su realización.
• Toda la documentación adicional que sea necesaria para demostrar el cumplimiento de la normativa de protección de datos en la entidad (cláusulas legales, consentimientos otorgados por los interesados, autorizaciones para la contratación de subencargados del tratamiento, ponderaciones del interés legítimo, etc.).
Esta documentación debe mantenerse en todo momento actualizada y debe ser revisada siempre que se produzcan cambios que puedan repercutir en el cumplimiento de la normativa de protección de datos o en las medidas de seguridad implantadas, como son cambios relevantes en:
– la organización
– el contenido de la información incluida en los tratamientos
– los tratamientos de datos personales realizados
– los sistemas de tratamiento empleados
Debe mantenerse adecuada, en todo momento, a las disposiciones vigentes en materia de protección de los datos de carácter personal.
2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO
El presente documento será de aplicación a los tratamientos de datos personales realizados por GEOAVANCE S.L., incluyendo los sistemas de información, soportes y equipos empleados para dicho tratamiento de datos de carácter personal, las personas que intervienen en el tratamiento y los locales en los que se ubican.
En concreto, los tratamientos a los que se hace referencia en este documento, son los relacionados en el apartado 2.2.
2.1. RESPONSABLE DEL TRATAMIENTO
GEOAVANCE S.L.
B91949164
C/AVIACION, 59, EDIF. VILASER, OFIC. 12 – 41007 – SEVILLA
954430956
geoavance@geoavance.es
2.2. TRATAMIENTOS
2.2.1. COMO RESPONSABLE DEL TRATAMIENTO
Los tratamientos que GEOAVANCE S.L. realiza como responsable del tratamiento, son los siguientes:
NOMBRE DEL TRATAMIENTO FINALIDAD
GESTIÓN DE CLIENTES Gestión fiscal, contable y administrativa de clientes, así como el envío de comunicaciones comerciales
GESTIÓN DE PERSONAL Gestión de recursos humanos, nóminas, formación y prevención de riesgos laborales
GESTIÓN DE POTENCIALES CLIENTES Gestión de potenciales clientes y contactos con los que se prevé mantener una relación comercial
GESTIÓN DE PROVEEDORES Gestión fiscal, contable y administrativa de proveedores
SELECCIÓN DE PERSONAL Gestión de los Currículum Vitae recibidos, así como los procesos de selección de personal
USUARIOS DE LA WEB GESTION DE LOS DATOS PERSONALES DE LOS USUARIOS DE LA WEB QUE SOLICITAN INFORMACION SOBRE LOS PRODUCTOS Y/O SERVICIOS OFRECIDOS POR LA EMPRESA. www.geoavance.es

En el ANEXO I se describen detalladamente cada uno de los tratamientos, junto con los detalles de cada uno de ellos.
2.2.2. COMO ENCARGADO DEL TRATAMIENTO
3. ANÁLISIS DE LOS RIESGOS Y MEDIDAS DE SEGURIDAD
Tal y como establece el RGPD, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo que en su caso incluya:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamientos;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Para dar cumplimiento a esto, GEOAVANCE S.L. ha realizado una análisis de riesgos documentado, que identifica las amenazas a las que los datos están expuestos, las vulnerabilidades que pueden aprovechar dichas amenazas, así como el daño que podrían producir las distintas amenazas en caso de que se materializasen.
Con estos datos se ha realizado una estimación del nivel de riesgo, con objeto de implantar medidas de seguridad adecuadas a dicho nivel de riesgo.
Este análisis de riesgos documentado se encuentra en el ANEXO II.
Las medidas de seguridad implantadas para mitigar los riesgos identificados se encuentran en el ANEXO III.
3.1. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales;
c) observación sistemática a gran escala de una zona de acceso público.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. Dicha lista podrá consultarse en el sitio web de la Agencia Española de Protección de datos: www.agpd.es.
En el ANEXO II se encuentran las evaluaciones de impacto relativas a la protección de datos personales que, en su caso, haya sido necesario realizar.
4. PROCEDIMIENTO DE INFORMACIÓN AL PERSONAL
Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica en los ANEXOS IV y V.
GEOAVANCE S.L. debe poner en conocimiento de personal las medidas y normas que les afectan en el desarrollo de sus funciones, así como de las consecuencias de no cumplirlas. Asimismo, deberá tener a disposición del personal la parte que les afecte del presente documento.
Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, se pondrá a su disposición una copia de las Funciones y obligaciones del personal en materia de protección de datos personales, que se encuentran en el ANEXO IV, sin perjuicio de otras actuaciones formativas o de concienciación que pueda desarrollar en este ámbito.
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todo el personal que acceda a datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.
Constituye una obligación del personal notificar a GEOAVANCE S.L. las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en esta documentación, y en concreto en el apartado de “Notificación, gestión y respuesta ante incidencias”.
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo. Para ello, firmarán un compromiso de confidencialidad y secreto. Dichos compromisos encuentran en el ANEXO VI.
Además del responsable del tratamiento, el personal afectado por esta normativa se puede clasificar en los siguientes perfiles genéricos:
1. Administradores, encargados de administrar o mantener el entorno operativo del tratamiento, así como conceder, alterar o anular el acceso autorizado a los datos. Este personal deberá estar explícitamente relacionado en el ANEXO V, ya que por sus funciones, pueden tener acceso a los datos protegidos saltándose las barreras de acceso de las aplicaciones o sistemas de información.
2. Encargados del tratamiento, son las personas físicas o jurídicas, autoridades públicas, servicios o cualquiera de otros organismos que sólo o con otros, traten datos personales por cuenta del responsable del tratamiento, como consecuencia de una relación jurídica de prestación de servicio. El tratamiento de los datos realizado por un encargado de tratamiento estará sometido en todo caso a las medidas de seguridad que sean necesarias para garantizar la confidencialidad, integridad y confidencialidad de los datos personales que está tratando.
3. Usuarios del tratamiento, o personal que usualmente accede a los datos para su tratamiento, y que debe estar explícitamente relacionado en el ANEXO V.
4. Otras personas, de entidades ajenas que por motivo de su desempeño profesional, puedan potencialmente tener acceso a la información de carácter personal.
Los requisitos para tratar los datos personales, tanto formales, como de seguridad, son de obligado cumplimiento para todos ellos.
Las funciones y obligaciones del personal en materia de protección de datos, están descritas en el ANEXO IV.
Los perfiles de usuario, las funciones específicas de esos perfiles dentro de la organización y los accesos autorizados a los distintos tratamientos se encuentran detallados en el ANEXO V.
5.1. EL DELEGADO DE PROTECCIÓN DE DATOS
Una figura fundamental para el correcto cumplimiento de la normativa de protección de datos personales es el Delegado de Protección de Datos.
El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en la normativa y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones propias de su puesto.
El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
El Delegado de Protección de Datos tiene las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben;
b) supervisar el cumplimiento de lo dispuesto en la normativa de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier asunto relacionado con el cumplimiento de la normativa de protección de datos.
El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
6. ENCARGADOS DEL TRATAMIENTO
Encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u organismo trate datos personales por cuenta del responsable del tratamiento.
A modo de ejemplo, la asesoría que realiza las nóminas, es encargada del tratamiento de para la empresa que manda realizar ese trabajo.
6.1. OBLIGACIONES
Cuando se vaya a realizar un tratamiento por cuenta de GEOAVANCE S.L., este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional;
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad;
c) tomará todas las medidas necesarias para garantizar la seguridad de los datos;
d) no recurrirá a otro encargado sin la autorización previa por escrito del responsable del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificación de las violaciones de la seguridad de los datos personales, la Evaluación de Impacto relativa a la Protección de Datos y las consultas previas a la Autoridad de Control, en su caso;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En dicho contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
6.2. RESPONSABLE Y ENCARGADO
Debemos tener en cuenta que, como entidad, podemos tener al mismo tiempo dos roles diferenciados: somos responsables de tratamiento de los datos propios (nuestros clientes, empleados, etc.), y al mismo tiempo, encargados del tratamiento de los clientes a los que prestamos servicios que requieran el tratamiento de datos personales de los que ellos son responsables.
6.2.1. COMO RESPONSABLE DEL TRATAMIENTO
Antes de que tenga lugar ningún tratamiento por parte del encargado del tratamiento, se debe formalizar un contrato u otro acto jurídico equivalente con el encargado en los términos descritos en el apartado 6.1.
En el ANEXO VII se recogen los contratos de acceso a datos por cuenta de terceros y otros actos jurídicos equivalentes que GEOAVANCE S.L. ha suscrito con los encargados del tratamiento.
6.2.2. COMO ENCARGADO DEL TRATAMIENTO
Antes de que tenga lugar ningún tratamiento por parte del encargado del tratamiento, se debe formalizar un contrato u otro acto jurídico equivalente entre el responsable y el encargado en los términos descritos en el apartado 6.1.
En el ANEXO VIII se recogen los contratos de acceso a datos por cuenta de terceros y otros actos jurídicos equivalentes que, en su caso, GEOAVANCE S.L. ha suscrito con los responsables del tratamiento a los cuáles presta servicio.
Al Registro de Actividades de Tratamiento del encargado deberá añadirse la identificación de los responsables por cuenta de los cuáles actúe el encargado y los detalles de los tratamientos que se realizan así como la descripción de las medidas técnicas y organizativas de seguridad.
7. TRANSFERENCIAS INTERNACIONALES DE DATOS
Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta de un responsable del tratamiento establecido en territorio español.
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas para su realización, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.
Sólo podrán realizarse dichas transferencias si se cumple alguna de estas situaciones:
• Cuando la Comisión Europea haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado.
• Cuando el responsable o el encargado del tratamiento haya obtenido garantías adecuadas, y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
• Si se cumple alguna de las condiciones siguientes:
° Existe el consentimiento explícito del interesado a la transferencia.
° La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento.
° La transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
° La transferencia es necesaria por razones importantes de interés público.
° La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones
° Transferencia necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
Las transferencias de datos personales a terceros países u organizaciones internacionales de cada uno de los tratamientos realizados, están detalladas en el Registro de Actividades de Tratamiento que se encuentra en el ANEXO I.
Las garantías y documentación relativa a las transferencias de datos a terceros países u organizaciones internacionales se encuentra en el ANEXO XII.
8. NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS
Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en el RGPD, así como cualquier anomalía o evento que afecte o pueda afectar a la seguridad de los datos de carácter personal en sus tres vertientes de confidencialidad, integridad y disponibilidad.
Se deberán tener en cuenta, entre otras, las siguientes incidencias:
• Cualquier pérdida de información que contenga datos personales.
• Modificación de datos personales por personal no autorizado o desconocido.
• Existencia de sistemas de información sin las debidas medidas de seguridad.
• Los intentos de acceso no autorizados a datos personales.
• El conocimiento por terceros de la clave de acceso al sistema.
• El intento no autorizado de salida de un soporte.
• La destrucción total o parcial de un soporte que contenga datos personales.
• La caída del sistema de seguridad informática, que posibilite el acceso a datos personales por personas no autorizadas.
• Cualquier incidencia que pueda afectar a la confidencialidad, integridad y/o disponibilidad de los datos personales.
Todos los usuarios, administradores, responsables, así como cualquier persona que tenga acceso a datos personales, deben tener conocimiento de este procedimiento para actuar en caso de incidencia.
Este procedimiento se ha dado a conocer a todo el personal que trata con datos de carácter personal de GEOAVANCE S.L. y es el descrito en el documento Funciones y obligaciones del personal en materia de protección de datos personales.
8.1. REGISTRO DE INCIDENCIAS
El mantener un registro de las incidencias que comprometan la seguridad de un tratamiento es una herramienta imprescindible para aplicar las medidas correctoras necesarias, así como posibilitar la prevención de posibles ataques a esa seguridad y la persecución de los responsables de los mismos.
Cualquier usuario que tenga conocimiento de una incidencia, es responsable del registro de la misma, si el registro de incidencias está automatizado; o de la notificación por escrito al responsable del tratamiento, o la persona en quien haya delegado la gestión de las incidencias, si el registro se realiza manualmente.
El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del tratamiento por parte de ese usuario.
En el ANEXO IX, se establece la creación de un registro de incidencias, en el que se hará constar:
• Tipo de incidencia
• Momento en que se ha producido o detectado
• La persona que realiza la notificación
• Persona a la que se comunica
• Los efectos derivados de la incidencia
• Medidas correctoras aplicadas
8.2. NOTIFICACIÓN DE LAS VIOLACIONES DE LA SEGURIDAD
Se denomina una violación de la seguridad de los datos personales a toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
8.2.1. NOTIFICACIÓN A LA AUTORIDAD DE CONTROL
En caso de violación de la seguridad de los datos personales, GEOAVANCE S.L. la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
La notificación deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Dicha comunicación se realizará de forma electrónica a la Agencia Española de Protección de Datos través de su sitio web: www.agpd.es.
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
GEOAVANCE S.L. documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el RGPD en este ámbito.
8.2.2. COMUNICACIÓN A LOS INTERESADOS
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, GEOAVANCE S.L. la comunicará al interesado sin dilación indebida.
La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información siguiente:
a) el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
b) una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
c) una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
La comunicación al interesado no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
9. DERECHOS DE LOS INTERESADOS
Los derechos que los interesados pueden solicitar al responsable del tratamiento son los siguientes:
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión («el derecho al olvido»).
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad de los datos.
• Derecho de oposición.
• Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles.
GEOAVANCE S.L. facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud de derecho por parte de un interesado, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud.
Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. GEOAVANCE S.L. informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
Si GEOAVANCE S.L. no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
El ejercicio de los derechos será a título gratuito para el interesado.
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
b) negarse a actuar respecto de la solicitud.
En este caso, GEOAVANCE S.L. soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
Los protocolos para el ejercicio de los derechos de los interesados se encuentran en el ANEXO X.
10. PROCEDIMIENTOS DE REVISIÓN
10.1. REVISIÓN DE LA DOCUMENTACIÓN
La documentación necesaria para dar cumplimiento a la normativa de protección de datos deberá mantenerse en todo momento actualizada y deberá ser revisada siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los tratamientos o como consecuencia de los controles periódicos realizados. Se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos personales.
Se realizará, al menos una vez al año, la revisión completa del presente documento, así como la validez y adecuación legal de todo su contenido.
10.2. AUDITORÍA
Los tratamientos identificados en el ANEXO I deberán someterse, periódicamente, a una auditoría interna o externa, que verifique el cumplimiento de las medidas de seguridad recogidas en el ANEXO III, así como el cumplimiento de la normativa de protección de datos en todo el ciclo de vida de los datos personales.
Esta auditoría afectará tanto a los ficheros automatizados, como a los no automatizados, y abarcará tanto los sistemas de información, como las instalaciones de tratamiento y almacenamiento de los datos personales.
Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones tales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con objeto de verificar la eficacia de las mismas.
El informe analizará la adecuación de las medidas de seguridad y controles a la normativa, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.
Los informes de las auditorías realizadas se encuentran en el ANEXO XII.

Para consultar los anexos, contactar con info@geoavance.es

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies