POLÍTICA DE PRIVACIDAD

1. Introducción

1.1 Bloque Normativo

En el presente documento se establecen los contenidos relativos al cumplimiento por parte de PATRICIA HERRADÓN AMEAL, con DNI 53419269-K, de la normativa vigente en materia de Protección de Datos de Carácter Personal, tanto el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), así como cualesquiera otras disposiciones creadas al efecto que sean de obligado cumplimiento conforme a la Ley. En este caso, se tendrá en cuanta también la normativa española Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD).

El Reglamento 2016/679, de Protección de Datos de Carácter Personal, en su Art. 5.1.f, establece que "los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)".

Este mismo precepto del RGPD dispone que se establezcan los requisitos y condiciones que deberán reunir dichos tratamientos y las personas que intervengan en el tratamiento de datos de carácter personal, resultando por tanto de aplicación a tal efecto el Reglamento 2016/679, de 27 de abril, de protección de datos de carácter personal. Este Reglamento establece los requisitos de procedimiento, técnicos y funcionales que deberán cumplir aquellas personas físicas o jurídicas que tengan bases de datos con datos de carácter personal.

1.2 Actividad Profesional

El presente documento recoge la política de seguridad de PATRICIA HERRADÓN AMEAL para proteger los datos de carácter personal de la organización. Política que se extiende a todos los Sistemas de Información centrales y locales y a cualquier soporte de los datos personales.

PATRICIA HERRADÓN AMEAL es una profesional cuya actividad principal es la fabricación de muebles arcade, utilizando como herramientas de trabajo archivos informatizados o no, que contienen datos de carácter personal con información de diversa índole.

En las presentes políticas se enmarcan las directrices a seguir por PATRICIA HERRADÓN AMEAL en lo referente a lo exigido en el Art. 32 del Reglamento 2016/679, en el que se regulan las medidas de seguridad de las actividades de tratamiento que contengan datos de carácter personal, siendo estas políticas las únicas que rige exclusivamente en materia de protección de datos en la organización.

La incorporación de datos de carácter personal de personas físicas quedará bajo la tutela del responsable del tratamiento: PATRICIA HERRADÓN AMEAL y el lugar donde se trata la información es en C/ Sorolla 7, Portal 9 – 8ºB, 45224 Seseña (Toledo).

La protección de los datos personales es un aspecto esencial a tomar en consideración, puesto que el desarrollo de la actividad profesional de PATRICIA HERRADÓN AMEAL requiere del tratamiento de datos personales, sin que ello pueda suponer una intromisión ilegítima en la privacidad de los afectados.

El presente documento recoge la política de seguridad y privacidad de PATRICIA HERRADÓN AMEAL estableciendo las medidas y directrices de índole técnica y organizativas que garantizan la seguridad en el tratamiento de datos de carácter personal contenidos en las actividades de tratamiento automatizadas o no, centros de tratamiento, equipos, sistemas y programas, así como en los locales en que se encuentran ubicados. Además de las obligaciones de las personas responsables o encargadas de su tratamiento.

2. ÁMBITO DE APLICACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS Y DE SEGURIDAD

Esta Política De Protección De Datos y Seguridad ha sido elaborado bajo la responsabilidad de PATRICIA HERRADÓN AMEAL quien, como responsable del tratamiento, se compromete a implantar y actualizar estas directrices de seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos, así como a los sistemas de información que permiten el acceso a los mismos.

Todas las personas que tengan acceso a tratamiento de datos, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso, se encuentran obligadas por ley a cumplir lo establecido en esta Política de Protección de Datos y Seguridad y están sujetas a las posibles consecuencias en que pudieran incurrir en caso de incumplimiento.

Las medidas de seguridad, las normas, estándares y procedimientos de actuación detallados en el presente documento, se establecen para garantizar la confidencialidad, disponibilidad e integridad de la información de carácter personal tratadas por PATRICIA HERRADÓN AMEAL con el fin de evitar su alteración, pérdida y tratamiento o acceso no autorizado.

Este documento o en su caso, un resumen del mismo, será puesto a disposición de cada persona autorizada a acceder a los datos, para que tengan perfecto conocimiento de sus implicaciones en materia de protección de datos.

2.1. ÁMBITO DE APLICACIÓN OBJETIVO

A estos efectos, se entenderá como ámbito objetivo todas las actividades de tratamiento que contengan datos de carácter personal, que se encuentren bajo la responsabilidad de PATRICIA HERRADÓN AMEAL y que sean objeto de tratamiento, procesamiento, gestión, almacenamiento y transporte, así como todos los programas, equipos y sistemas informáticos que traten, procesen y almacenen datos de carácter personal en PATRICIA HERRADÓN AMEAL.

La presente Política de Protección de Datos y Seguridad se refiere única y exclusivamente al registro de actividades de los que es titular PATRICIA HERRADÓN AMEAL y por lo tanto, recogerá todas las medidas de índole técnica, organizativa y jurídica que se exige por el tratamiento de datos que se realiza y su categoría.

Dentro del presente ámbito de aplicación, se detallan los recursos que sirven de modo directo o indirecto para acceder a las actividades de tratamiento de los que es responsable PATRICIA HERRADÓN AMEAL:

• Las instalaciones en las cuales se encuentran ubicados los datos y/o donde se almacenan los soportes y documentos que los contengan.
• Los equipos informáticos que manejen datos de carácter personal, ya sean locales o remotos.
• El entorno del sistema operativo y de comunicaciones en el que se encuentran ubicados las actividades de tratamiento.
• El sistema informático y aplicaciones creadas al efecto para el acceso a los datos de carácter personal propiedad de PATRICIA HERRADÓN AMEAL.

2.1.1. ACTIVIDADES DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

PATRICIA HERRADÓN AMEAL es Responsable de diferentes actividades de tratamiento de datos personales, de conformidad con lo dispuesto en el Art. 30 del RGPD: "Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad."

En concreto, las actividades de tratamiento que realizan, sujetas todas ellas a las medidas de seguridad establecidas en este documento, con indicación del sistema de tratamiento (automatizado, manual o mixto), son las siguientes:

1. GESTIÓN DE CLIENTES. Automatizado.
2. GESTIÓN DE PROVEEDORES. Mixto.
3. ATENCIÓN A CONTACTOS. Automatizado.
4. ENVÍO DE COMUNICACIONES COMERCIALES. Automatizado.
5. ATENCIÓN A LOS DERECHOS DE LOS INTERESADOS. Mixto.

En el ANEXO I del presente documento se presenta el Registro de Actividades y su descripción detallada.

2.2. ÁMBITO DE APLICACIÓN SUBJETIVO

Se entenderá por ámbito subjetivo a todas las personas que intervengan en el tratamiento, procesamiento, gestión, almacenamiento y transporte o cualquier otra forma de acceso a los sistemas de información, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso. Estos usuarios se encuentran obligados por ley a cumplir lo establecido en esta Política de Protección de Datos y Seguridad, y sujetas a las consecuencias en que pudieran incurrir en caso de incumplimiento.

Por todo lo cual, el contenido reflejado en esta Política de Protección de Datos y Seguridad será de obligada aplicación a todas aquellas personas que presten o pudieran prestar servicios de forma directa o indirecta a PATRICIA HERRADÓN AMEAL, cualquiera que sea la relación profesional que les una con la organización.

Para poder llevar un estricto control de estos parámetros, PATRICIA HERRADÓN AMEAL tendrá actualizada la relación de los usuarios que tengan acceso autorizado a todo o parte de las actividades de tratamiento con datos de carácter personal de los que sea responsable (ANEXO III). En dicha relación de usuarios, se determinará la clase de acceso que poseen, así como los procedimientos de identificación y autenticación creados al efecto para el conocimiento de los usuarios. Las obligaciones de los usuarios quedan recogidas en las correspondientes normas de Protección de Datos.

2.3. ÁMBITO DE APLICACIÓN MATERIAL

Se entenderá por ámbito de aplicación material a las medidas de protección de los datos de las actividades de tratamiento propiedad de PATRICIA HERRADÓN AMEAL, las cuales se realizan mediante el control, a su vez, de todas las vías por las que pueda tener acceso dicha información.

En virtud de lo cual, los recursos que sirven de modo directo o indirecto para acceder a los datos de los que es responsable PATRICIA HERRADÓN AMEAL son:

• Los locales donde se encuentran ubicadas las actividades de tratamiento o donde se almacenan los soportes que los contengan. Los mismos cuentan con las medidas de seguridad mínimas a fin de evitar los riesgos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. El lugar donde se encuentran el tratamiento principal de los datos cuenta con un acceso restringido, teniendo acceso al mismo única y exclusivamente las personas habilitadas al efecto. Cualquier otra persona que necesite acceder a los locales donde se encuentran ubicados los datos de carácter personal deberá ser autorizada por el responsable del tratamiento o persona autorizada. En el ANEXO III y se relacionan todas las personas autorizadas a acceder a las ubicaciones donde se encuentran los sistemas de información que contienen las actividades de tratamiento de datos de carácter personal.
• Equipos informáticos. En el ANEXO III y ANEXO IV se adjunta el listado de equipos informáticos y soportes con acceso a datos de carácter personal. El Responsable de Seguridad se encarga de velar por el correcto uso del sistema operativo y de comunicaciones de los datos, así como del entorno de comunicaciones. Ninguna herramienta o programa de utilidad que permita el acceso a las actividades de tratamiento deberá ser accesible a ningún usuario o administrador no autorizado en el presente documento.
• El entorno del sistema operativo y de comunicaciones en el que se encuentran ubicados las actividades de tratamiento.
• El sistema informático y aplicaciones creadas al efecto para el acceso a los datos de carácter personal propiedad de PATRICIA HERRADÓN AMEAL. Se entenderá como sistema informático o aplicaciones de acceso, todos aquellos sistemas informáticos, programas o aplicaciones con las que se pueda acceder a los datos, y que son habitualmente usados por los usuarios para acceder a ellos.

3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDO EN ESTE DOCUMENTO

3.1. RESPONSABLE DE SEGURIDAD Y/O DELEGADO DE PROTECCIÓN DE DATOS

El responsable del tratamiento designará a un (o varios) Responsable de Seguridad y a un Delegado de Protección de Datos (DPD / DPO), que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento.

• En ningún caso, la designación supone una delegación de la responsabilidad que corresponde a PATRICIA HERRADÓN AMEAL como responsable del tratamiento, de acuerdo con la normativa vigente de protección de datos.
• El Responsable de Seguridad desempeñará las funciones encomendadas hasta que comunique su decisión de darse de baja de dicho cargo, siendo el responsable del tratamiento quien nombre a otra/s persona/s diferente/s.
• En el ANEXO VII y ANEXO VIII se encuentran los nombramientos de los responsables de seguridad y/o Delegado de Protección de Datos.
• El artículo 37.1 del RGPD exige la designación de un DPO en tres casos concretos:
  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Además, el artículo 34.1 de la LOPDGDD 3/2018, establece una serie de supuestos en los que es obligatorio, igualmente, la designación de un DPD/DPO.

De acuerdo con lo anteriormente expuesto, entendemos que el Responsable no está obligado a designar un DPO ya que no cumple ninguno de los criterios específicos antes mencionados.

3.2. MEDIDAS DE SEGURIDAD GENERALES

Las medidas de seguridad implantadas serán revisadas de forma periódica con el objetivo de comprobar que garantizan un nivel de seguridad adecuado al riesgo, que protegen efectivamente la seguridad de los datos personales y que permiten demostrar el cumplimiento del RGPD. Entre otras serán:

1. Actualización: los sistemas operativos y aplicaciones en los dispositivos y equipos informáticos utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible. En lo referente a los equipos informáticos y dispositivos, antes de darles de baja en el inventario se deberá realizar una destrucción, borrado o formateo de los discos duros de una forma segura.
2. Antivirus: en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida de lo posible los intentos de robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
3. Firewall: para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall, activado en aquellos servidores, ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.

3.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS ACTIVIDADES DE TRATAMIENTO AUTOMATIZADAS

El acceso a las actividades de tratamiento informatizadas con datos personales se controlará mediante un sistema de identificación y autenticación, a través de un nombre de usuario (o código de usuario) y contraseña en:

• En la aplicación informática de gestión.
• En los equipos o terminales con acceso a datos personales (equipos informáticos, teléfonos móviles o tablets).

Todo ello asignado a cada una de las personas autorizadas con acceso a los datos personales (descritas en el ANEXO III).

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas; como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser registrado tal evento como incidencia y subsanarlo en el menor plazo de tiempo posible.

Las contraseñas se modificarán cada año y tendrán como mínimo 8 caracteres para que sean seguras (deberá contener mayúsculas y minúsculas, números y símbolos), a fin de evitar las posibles vulneraciones a las que se exponen esta clase de datos.

La asignación distribución y almacenamiento de dichas contraseñas será gestionado por el Responsable de Seguridad, debiendo estar ininteligibles las activas.

A continuación describimos el procedimiento de alta, baja y modificación periódica de los códigos de usuarios y contraseñas, así como el sistema de actualización de usuarios con acceso a los datos personales:

ALTA. El Responsable de Seguridad asignará a cada nuevo miembro con acceso al sistema un código de usuario y establecerá una contraseña, que serán añadidos al perfil creado en el sistema por el Responsable de Seguridad. Una vez caducada la contraseña, el propio usuario se autoasignará una nueva. El alta del usuario será reflejada en el ANEXO III.

BAJA. En el momento que un trabajador cause baja o la relación por la que tiene acceso al sistema finalice, el Responsable de Seguridad reflejará en el ANEXO III la baja del usuario. Del mismo modo, será cancelada su cuenta de usuario y su contraseña, eliminando los privilegios de los cuales gozaba hasta ese momento.

MODIFICACIÓN Y REACTIVACIÓN. En la modificación de los privilegios de un usuario será necesario que el Responsable de Seguridad asigne del mismo modo que en el alta, los nuevos privilegios asignados al usuario. En el supuesto de olvido de contraseñas, bloqueos por intentos reiterados, etc., se debe notificar inmediatamente al Responsable de Seguridad y/o Delegado de Protección de Datos para que subsane la situación. Todo ello debe quedar reflejado en el ANEXO II de Registro de Incidencias.