1. Inicio
  2. Protección de datos

Protección de datos

ÍNDICE.

  1. Objeto
  2. Alcance
  3. Referencias
  4. Desarrollo
  5. Anexos

1. OBJETO

El objetivo del presente documento, es facilitar la información necesaria para el cumplimiento de las normativas vigentes en materia de protección de datos, relativas al tratamiento de datos personales de carácter personal en CONGELADOS DE NAVARRA, S.A.

Este documento describe las obligaciones y procedimientos a seguir por el personal de la organización, tanto propio como externo, que trate o tenga acceso a datos de carácter personal en el desarrollo de su actividad, con el fin de asegurar de que estos datos sean tratados con fines lícitos, de forma transparente y consentida, y que no se vulneren los derechos y libertades fundamentales de los interesados.


2. ALCANCE

El presente documento es de aplicación y de obligado cumplimiento para todos los usuarios que, de manera permanente o eventual, presten sus servicios en Congelados de Navarra, S.A., incluyendo el personal de proveedores externos que traten o puedan acceder a datos de carácter personal responsabilidad de Congelados de Navarra, S.A.

En el ámbito del presente documento, se entiende por usuario cualquier empleado perteneciente o ajeno a Congelados de Navarra, S.A., así como personal de organizaciones externas, entidades colaboradoras o cualquier otro con algún tipo de vinculación con Congelados de Navarra, S.A. y que trate, utilice o disponga de acceso a datos de carácter personal o a los Sistemas de Información responsabilidad de Congelados de Navarra, S.A.


3. REFERENCIAS

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

4. DESARROLLO


4.1.- CONCEPTOS BÁSICOS


Para proporcionar una mejor comprensión de la protección de datos, definimos los principales conceptos básicos:

Estructura del tratamiento:

  • Datos personales: Información relativa a una persona física por la cual pueda determinarse su identidad.
  • Tratamiento: Cualquier operación realizada sobre datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.
  • Interesado:Persona física sometida al tratamiento de sus datos personales.
  • Fichero: Conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
  • Responsable del Tratamiento: Organización que determina los fines y los medios del tratamiento (CONGELADOS DE NAVARRA, S.A.).
  • Personal autorizado: Persona autorizada por el Responsable para realizar un tratamiento de datos mediante un compromiso de confidencialidad.

Categorías de datos:

  • Básicos: Datos que no correspondan a categorías Penales o Especiales, por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
  • Penales: Datos relativos a la comisión de infracciones administrativas o penales, o los que puedan ofrecer una definición de características de personalidad, etc.
  • Especiales: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

4.2.- PRINCIPIOS DE LA PROTECCIÓN DE DATOS


Los principios fundamentales para realizar un tratamiento de datos son:

  • Licitud: lealtad y transparencia con el INTERESADO.
  • Limitación de los fines: recogidos con fines determinados, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines.
  • Minimización de los datos: sólo se deben recabar los datos pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: actualizados sin demora con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los INTERESADOS durante no más tiempo del necesario para los fines por los que se tratan.
  • Integridad y confidencialidad: implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales, en todas las fases del tratamiento.
  • Responsabilidad proactiva: se debe poder demostrar el cumplimiento de todos los principios de protección de datos.

Licitud del tratamiento

El tratamiento sólo será lícito cuando exista:

  • CONSENTIMIENTO explícito para fines específicos.
  • Contrato o precontrato con el INTERESADO.
  • Protección de los intereses vitales del INTERESADO u otra persona física.
  • Interés legítimo del Responsable del tratamiento o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del INTERESADO, especialmente si es un NIÑO.
  • Procedencia legítima de archivos de acceso público:
  • Obtenidos de una fuente pública.
  • El INTERESADO ha hecho manifiestamente públicos los datos.

O cuando esté fundamentado en la legislación vigente por:

Obligación jurídica a la que esté sujeto el Responsable del tratamiento. Cumplimiento de un cometido de interés PÚBLICO. Fines de investigación histórica, estadística o científica. Interés legítimo de las Autoridades públicas en el ejercicio de sus funciones.

Información del tratamiento al interesado

Deberemos facilitar la siguiente información al interesado:

  • La identidad y los datos de contacto del Responsable del tratamiento
  • Los fines del tratamiento.
  • La base jurídica del tratamiento.
  • El plazo de conservación de los datos o los criterios que lo determinen.
  • Los derechos que asisten al interesado.
  • Y, si existen:
    • Los destinatarios o categorías de destinatarios de los datos.
    • La transmisión de datos a países u organizaciones establecidas fuera de la UE.

Para ampliar información al respecto debe leer el documento “Protocolo de información y comunicación del tratamiento al interesado”, del cual puede pedir una copia en el departamento de Sistemas o solicitarla al Responsable de Seguridad a través del correo electrónico lopd@congeladosnavarra.com.


4.3.- RESPONSABILIDAD DEL TRATAMIENTO


El tratamiento de datos se podrá realizar por organizaciones externas siempre y cuando exista una autorización expresa del Responsable y se haya suscrito un contrato para realizar dicho tratamiento conforme a la legislación vigente. Para conocer qué empresas o terceros están autorizados a la cesión de datos, deben dirigirse al Responsable de seguridad.

Las organizaciones externas pueden ser:

  • Encargados del tratamiento: Organización que trata datos personales por cuenta del Responsable.
  • Destinatarios de datos: Organización distinta del Encargado, que recibe una comunicación de datos personales del Responsable.

4.4.- MEDIDAS DE SEGURIDAD


La organización ha implementado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado a los riesgos que pueda tener el tratamiento como consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación no autorizada y el acceso a los datos cuando son transmitidos, conservados u objeto de algún otro tipo de tratamiento.

El personal deberá velar por la seguridad de los datos tratados por la organización y comunicará al Responsable cualquier operación de tratamiento que pueda suponer un riesgo que afecte la protección de datos o los intereses y libertades de los interesados.

Cualquier diseño de una nueva operación de tratamiento o actualización de una operación existente deberá garantizar antes de su implantación, la protección de datos personales y el ejercicio de los derechos de los interesados en todas las fases del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.


4.5- FUNCIONES Y OBLIGACIONES DEL PERSONAL


El personal deberá actuar en todo momento conforme las instrucciones detalladas en el acuerdo de confidencialidad suscrito con la organización y las señaladas en esta Política de seguridad. Para ello se establecen las siguientes medidas de protección de datos que el personal se obliga a cumplir expresamente:


Derechos de los afectados

La legislación vigente en materia de protección de datos, reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación, cancelación y oposición de sus datos personales.

Como norma general, cuando un afectado desee ejercer alguno de sus derechos, se le remitirá al RESPONSABLE en el menor plazo posible, a través del correo electrónico lopd@congeladosnavarra.com para que se haga cargo de su gestión.

Para ampliar información al respecto debe leer los documentos “Instrucciones para las solicitudes del ejercicio de derechos del interesado” y “Protocolo de actuación para el ejercicio de los derechos del interesado”, de los cuales puede pedir una copia en el departamento de Sistemas o solicitarla al Responsable de Seguridad a través del correo electrónico lopd@congeladosnavarra.com.


Organización de la información

Se deberán clasificar los datos de manera que se puedan ejercer los derechos de los interesados: acceso, rectificación, supresión y portabilidad de los datos y limitación u oposición al tratamiento.


Conservación de los datos

Los soportes documentales e informáticos deberán estar dispuestos de tal forma que no sean accesibles a personas no autorizadas.

Se deberán conservar los datos en el mobiliario y departamento destinados a tal fin. Para tratamientos automatizados se guardarán los archivos en los soportes, carpetas o directorio de red indicados por el Responsable de seguridad.

No está permitido conservar datos en el escritorio físico o digital. Solo se permite su tratamiento temporal en dicho escritorio para realizar las operaciones que lo precisen debiendo ser conservados en el lugar apropiado al término de la jornada laboral.


Acceso a la información

Se deberán aplicar los mecanismos de acceso restringido a la información que haya implementado la organización, salvaguardando las claves de acceso de toda divulgación o comunicación a otras personas.

Cada persona sólo está autorizada a acceder a los recursos que sean necesarios para el desarrollo y cumplimiento de sus funciones.

Se restringirá el acceso a los equipos informáticos mediante procedimientos de puedan identificar y autenticar la persona que accede a los mismos. Los nombres de usuario y contraseña tendrán la consideración de datos personales intransferibles.


Procesamiento de datos

Si una persona abandona su puesto de trabajo temporalmente, deberá ocultar los documentos y bloquear el ordenador, de modo que se impida la visualización de la información con la que estaba trabajando.

Cuando se utilicen impresoras o fotocopiadoras, después de la impresión de trabajos con información de carácter personal, se debe recoger de manera inmediata, o imprimir de forma bloqueada, asegurándose de no dejar documentos impresos en la bandeja de salida.


Transporte de soportes

El transporte de soportes que contengan datos personales deberá realizarse únicamente por personal autorizado o empresas externas contratadas para tal fin por el Responsable del tratamiento.


Eliminación de documentos

Cualquier documento físico o soporte digital que quiera ser eliminado y que incluya datos personales, debe ser destruido con la destructora o retirado por una empresa homologada de destrucción de documentos.


Copia de seguridad y recuperación de datos

El personal deberá almacenar toda la información tratada en el directorio de red correspondiente indicado por el Responsable de seguridad, lo que permitirá que a esta información se le apliquen las medidas de seguridad existentes y que sea sometida a los procedimientos de copias de seguridad aplicados por la organización.


Protección de datos

Se deberán aplicar las medidas de protección de datos establecidas por la organización, relativas a la seguridad del tratamiento, como pueden ser la seudonimización o cifrado de datos o advertencias de intrusión como antivirus, antispam, etc.


Gestión de incidencias

Se considera una incidencia a cualquier violación de la seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, o el acceso o comunicación no autorizados de datos personales, que afecte o pudiera afectar a la seguridad de los mismos o al incumplimiento de las obligaciones detalladas en este documento.

Es obligación del USUARIO, comunicar al RESPONSABLE en el menor plazo posible, todas aquellas incidencias que se produzcan en la organización, a través del correo electrónico lopd@congeladosnavarra.com, con el fin de que establezcan las medidas correctivas para remediar y mitigar los efectos que hubiera podido ocasionar.

Dicha comunicación deberá contener la identificación clara de la incidencia y una descripción detallada de la misma; que indicará, como mínimo: el momento –día y hora- que se ha producido, la persona que ha tenido conocimiento de ella, las personas a la que se ha comunicado, los efectos producidos y las medidas correctoras adoptadas.

El conocimiento y no notificación de una incidencia por parte del personal se considerará una falta contra la seguridad de los datos y podrá suponer el inicio de acciones legales, así como la reclamación de las indemnizaciones, sanciones y daños o perjuicios que el Responsable se vea obligado a atender como consecuencia de dicho incumplimiento.

Para ampliar información al respecto debe leer el documento “Protocolo para las violaciones de la seguridad”, del cual puede pedir una copia en el departamento de Sistemas o solicitarla al Responsable de Seguridad a través del correo electrónico lopd@congeladosnavarra.com.


5. RESPONSABILIDAD

Para hacer cumplir esta Política, la organización ha designado un Responsable de seguridad que estará a disposición de todo el personal, a través del correo electrónico lopd@congeladosnavarra.com, y se encargará de coordinar, controlar, desarrollar y verificar el cumplimiento de las citadas normativas.

Como ya se ha explicado, es obligación del USUARIO, comunicar al RESPONSABLE en el menor plazo posible, todas aquellas incidencias que se produzcan en la organización, a través del correo electrónico lopd@congeladosnavarra.com, con el fin de que establezcan las medidas correctivas para remediar y mitigar los efectos que hubiera podido ocasionar.


6. ANEXOS

Listado de confirmación de política en políticas de uso aceptable de NetSupport DNA.