POLITICA DE PRIVACIDAD SERVICIO DE INFORMACIÓN INTERNO GOLDARACENA ABOGADOS
GOLDARACENA ABOGADOS tratará los datos personales necesarios para prestar el servicio de gestión externa del Sistema Interno de Información como ENCARGADDO DE TRATAMIENTO, de acuerdo con el art. 29 RGPD y la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
El encargado del tratamiento y todo su personal se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones del RESPONSABLE. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente a RESPONSABLE.
c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de RESPONSABLE, que contenga:
- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
a) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
e) Se autoriza al encargado a subcontratar de forma general los servicios que precise. La subcontratación podrá llevarse a cabo si EL RESPONSABLE no manifiesta su oposición en el plazo de <Indicar tiempo>. El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte EL RESPONSABLE. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante EL RESPONSABLE en lo referente al cumplimiento de las obligaciones.
d. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
f. Mantener a disposición de EL RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
g. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
h. Asistir a EL RESPONSABLE en la respuesta al ejercicio de los derechos de:
- Acceso, rectificación, supresión y oposición
- Limitación del tratamiento
- Portabilidad de datos
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)
- Derecho de información
- Corresponde a EL RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.
j. Notificación de violaciones de la seguridad de los datos
El encargado del tratamiento notificará a EL RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través de su Delegado de Protección de Datos, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
k. Dar apoyo a EL RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
l. Dar apoyo a EL RESPONSABLE en la realización de las consultas previas a la autoridad de control, cuando proceda.
m. Poner disposición de EL RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice EL RESPONSABLE u otro auditor autorizado por él.
n. Implantar las medidas de seguridad necesarias para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
o. Destino de los datos
Devolver a EL RESPONSABLE los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
ANEXO I: ESPECIFICACIONES DEL TRATAMIENTO (SISTEMA INTERNO DE INFORMACIÓN)
| Concepto | Descripción Detallada |
| Naturaleza del tratamiento | Recogida, registro, estructuración, conservación, consulta, comunicación por transmisión y supresión de datos personales a través del canal de denuncias. |
| Finalidad del tratamiento | Gestión del Sistema Interno de Información conforme a la Ley 2/2023: recepción de comunicaciones, investigación de hechos denunciados y prevención de infracciones legales. |
| Categorías de interesados | -Empleados de la organización. -Accionistas, participantes o personas pertenecientes a la Junta Rectora. -Profesionales y colaboradores vinculados a la entidad sobre los que pueda ejercer control directo o indirecto. -Personal en prácticas. -Cualquier persona relacionada o que trabaje bajo la supervisión de la entidad. -Afectado. -Tercero involucrado en el procedimiento |
| Tipos de datos personales | • Identificativos: Nombre, apellidos, DNI/NIE, cargo, teléfono, email. • Laborales: Puesto de trabajo, departamento, centro de trabajo. • Categorias especiales de datos: Si la información recibida contuviera categorías especiales de datos, se procederá a su inmediata supresión, salvo que el tratamiento sea necesario por razones de un interés público esencial conforme a lo previsto en el artículo 9.2. g) del Reglamento general de protección de datos, según dispone el artículo 30.5 de la Ley 2/2023. |
| Plazo de conservación | Máximo 3 meses en el sistema de gestión de información (salvo que se requiera más tiempo para la investigación). Transcurrido este plazo, los datos se suprimirán o se anonimizarán, salvo que exista una obligación legal de bloqueo. |
| Ubicación de los servidores | Unión Europea |