POLÍTICA CORPORATIVA DE PROTECCIÓN DE DATOS

 

Base legal

  • Reglamento 2016/679 de Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (en adelante RGDP).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales, (en adelante LOPD).

Responsable del Tratamiento

ATRIA TECNOLOGÍA Y PSICOLOGÍA, S.L
CIF B98975261
C/ Sueca, 6 Pta 4, 46006, Valencia (Valencia)
Tel: 962066234
kiko@serena.help

Cumplimiento

La presente política será de obligado cumplimiento para todos los empleados de nuestra entidad.

Ámbito de aplicación

El ámbito de esta política será de aplicación a todos los departamentos de nuestra entidad.

Objeto de la Política de Protección de Datos

El objeto se basa en el establecimiento de directrices a seguir para la protección de datos personales, de acuerdo con lo dispuesto en la normatividad específica en esta materia, de manera que se desarrollen las medidas de seguridad pertinentes para su salvaguarda, así como la confidencialidad de los mismos.

Principios generales de protección de datos personales (artículo 5 RGDP).

Los principios generales de protección de datos son los siguientes:


Licitud: Cualquier tratamiento tendrá una base jurídica de entre las siguientes:

  • Consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos;
  • Ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
  • Cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • Protección de los intereses vitales del interesado o de otra persona física;
  • Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • Satisfacción de intereses legítimos perseguidos por la entidad, siempre que sobre dichos intereses  no prevalezcan los intereses o los derechos y libertades fundamentales del interesadoque requieran la protección de datos personales.

Lealtad: Cumplir todas las normas de Derecho generales y/o sectoriales aplicables al tratamiento.

Transparencia: El interesado será informado del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.

Minimización de datos: Los datos sometidos a tratamiento serán adecuados, pertinentes y limitados a lo  necesario en relación con los fines para los que son tratados y a los mínimos datos posibles.

Exactitud: Se tratarán datos exactos y, si fuera necesario, actualizados; adoptando todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

Limitación del plazo de conservación: Los datos serán mantenidos de forma que se permita la  identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento para los que fueron recogidos los datos personales.

Integridad: La actuación tanto del responsable como del encargado, así como su personal, estarán sujetos a los dispuesto en la normatividad específica aplicable, y con la diligencia y buen hacer propia de la materia.

Confidencialidad: Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad, así como al secreto profesional, en su caso. Esta obligación se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

Responsabilidad activa: El responsable y el encargado del tratamiento deben cumplir con los principios antedichos y ser capaces de demostrarlo.

Categorías especiales de datos

Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones, políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos  genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Se deberá atender le régimen de excepciones establecidas para este tipo de datos personales en el artículo 9.2 del RGPD y 9 de la LOPD.

Información para proporcionar al interesado/a sobre el tratamiento de sus datos

Dependiendo de la manera en la que se ha recabado los datos personales, existirá información diversa que deberá ponerse en conocimiento del interesado por parte de esta entidad:

1. Los datos se recaban directamente del interesado (art. 13 RGPD): el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la  Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
g) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada; d) el derecho a presentar una reclamación ante una autoridad de control;
j) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
k) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Los datos no se recaban directamente del interesado (art. 14 RGDP): el responsable del tratamiento le facilitará la siguiente información:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del  tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
g) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible,
los criterios utilizados para determinar este plazo; b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada; e) el derecho a presentar una reclamación ante una autoridad de control;
j) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso  público;
k) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Derechos de los interesados

Los derechos de los interesados se encuentran regulados en los artículos 15 al 18 de la LOPD, así como
del 15 al 23 del RGPD.

1. Derecho de acceso: El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
i) Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
j) Derecho a solicitar copias de tus datos personales.


2. Derecho de rectificación: El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

3. Derecho de supresión (derecho al olvido): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las  circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
Este derecho se limitará cuando concurra alguna de estas circunstancias:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.

4. Derecho a la limitación: El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud de oposición, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
e) Todo interesado que haya obtenido la limitación del tratamiento con arreglo a lo especificado, será informado por el responsable antes del levantamiento de dicha limitación.

5. Derecho de rectificación: El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

6. Derecho de portabilidad: El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando el tratamiento esté basado en el consentimiento o se efectúe por medios automatizados. El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

7. Derecho de oposición: El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles, mercadotecnia, investigación científica o histórica o fines estadísticos. 

8. Derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles: Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Se deberá atender el régimen de excepciones del artículo 22.2 del RGDP.

Registro de actividades

Con fundamento en el artículo 30 del RGPD, nuestra entidad llevará un registro de actividades, en donde constará la siguiente información:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos 
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Medidas de seguridad

Nuestra entidad cuenta con las medidas técnicas y organizativas necesarias para salvaguardar los datos personales obtenidos de sus clientes, bajo los principios de confidencialidad y secreto, de manera que no se produzcan tratamientos no autorizados o ilícitos y contra su pérdida, destrucción o daño accidental.

Para ello, nuestra entidad ha desarrollado un Protocolo de Actuación frente a violaciones de datos personales, el cual contiene todos los pasos a seguir en el momento se produzca alguna circunstancia que vulnere la protección de los datos personales, de acuerdo con lo dispuesto a la normativa específica.