Política de protección de datos global

GRCX3, tiene un alto compromiso con la privacidad y protección de datos personales. En línea con ese compromiso determina la estrategia y aprueba las políticas corporativas de la de este proyecto, así como de disponer los sistemas de control interno.

Esta Política de Protección de Datos es efectiva desde la fecha que aparece en la página anterior, y hasta que sea reemplazada por una nueva Política.

1. Finalidad

La Política de protección de datos personales establece los principios y pautas comunes de actuación que deben regir en la Corporación en materia de protección de datos personales, garantizando, en todo caso, el cumplimiento de la legislación aplicable. En particular, la Política de protección de datos personales tiene la finalidad de garantizar el derecho a la protección de datos de todas las personas físicas que se relacionan con GRCX3 asegurando el respeto del derecho al honor y a la intimidad en el tratamiento de los diferentes tipos de datos personales, procedentes de diferentes fuentes y con fines diversos, en función de la actividad desarrollada por GRCX3.

GRCX3 depende, en mayor o menor medida, de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez ante la aparición de incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que GRCX3 debe aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos que conforman GRCX3 deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema.

 

2. Ámbito de aplicación

Esta Política define los requisitos para ayudar a garantizar el cumplimiento de las leyes y regulaciones aplicables a la recolección, almacenamiento, uso, transmisión, divulgación a terceros y la retención de datos personales en GRCX3.

La presente política deberá ser observada por todos los empleados y colaboradores entre cuyas funciones se encuentren cualquiera de los tratamientos relativos a datos de carácter personal.

Aplicará a todas las actividades de tratamiento realizadas por GRCX3 cuando actúe como responsable del tratamiento.

3.- Definiciones y términos.

Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

4. Principios del tratamiento de los datos personales

Los principios por los que se rige la Política de protección de datos personales son los siguientes:

  1. a) Principios generales: GRCX3 cumplirá escrupulosamente con la legislación en materia de protección de datos, la que resulte aplicable en función del tratamiento de datos personales que se lleve a cabo y la que se determine conforme a normas o acuerdos vinculantes adoptados.

GRCX3 promoverá que los principios recogidos en esta Política de protección de datos personales sean tenidos en cuenta en:

  • (i) en el diseño e implementación de todos los procedimientos que impliquen el tratamiento de datos personales, incluidos los relacionados con el turno de oficio y los expedientes de justicia gratuita,
  • (ii) en los servicios ofrecidos,
  • (iii) en todos los contratos y obligaciones que formalicen con personas físicas y
  • (iv) en la implantación de cuantos sistemas y plataformas permitan el acceso por parte de empleados o de terceros a datos personales y/o la recogida o tratamiento de dichos datos.
  1. b) Principios relativos al tratamiento de datos personales:

(i) Principios de licitud, lealtad y transparencia en el tratamiento de datos personales.

El tratamiento de datos personales será lícito, leal y transparente conforme a la legislación aplicable. En este sentido, los datos personales deberán ser recogidos para uno o varios fines específicos y legítimos conforme a la legislación aplicable.

En los casos en los que resulte obligatorio conforme a la legislación aplicable, deberá obtenerse el consentimiento de los interesados antes de recabar sus datos. Asimismo, cuando lo exija la ley, los fines del tratamiento de datos personales serán explícitos y determinados en el momento de su recogida.

El tratamiento de datos personales será transparente en relación con el interesado, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la normativa. El tratamiento de datos personales será transparente en relación con el interesado, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la ley aplicable. A fin de garantizar un tratamiento leal y transparente, GRCX3 en su calidad de responsable del tratamiento, deberá informar a los afectados o interesados cuyos datos se pretende recabar de las circunstancias relativas al tratamiento conforme a la legislación aplicable.

En particular, GRCX3 no recabará ni tratará datos personales relativos al origen étnico o racial, a la ideología política, a las creencias, a las convicciones religiosas o filosóficas, a la vida u orientación sexual, a la afiliación sindical, a la salud, ni datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona, salvo que la recogida de los referidos datos sea necesaria, legítima y requerida o permitida por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en aquella.

GRXC3 se compromete, en aplicación de los principios de lealtad y de transparencia, así como de conformidad con el Considerando 39 del RGPD a que todas las personas que se relacionen con GRCX3 tendrán conocimiento previo de los riesgos, normas, salvaguardas y derechos. En aras de este compromiso, GRCX3 informará del nivel de riesgo por la naturaleza de los datos recogidos, clasificándolos del 1 al 4, de menor a mayor riesgo. Además, todas aquellas actividades de tratamiento que tengan su base de licitud en el interés legítimo (art. 6.1.f.) contendrá la información adecuada al nivel de riesgo, así como el enlace al informe de evaluación del interés legítimo resumido. Igualmente, con aquellas actividades, que previo análisis de riesgos determine un alto riesgo a derechos y libertades, o bien por exigencia del RPGD o por estar incluidas en las actividades enunciadas por la Agencia Española de Protección de Datos, se requiera una Evaluación de Impacto en Protección de Datos (EIPD), GRCX3 se compromete a transparentar la evaluación a través de la publicación del resumen ejecutivo de dicha Evaluación de Impacto.

(ii) Principio de limitación de finalidad.

               Los datos deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

(iii) Principio de minimización.

Solo serán objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para los que se recojan o traten y adecuados a tal finalidad.

(iv) Principio de exactitud.

Los datos personales deberán ser exactos y estar actualizados. En caso contrario, deberán suprimirse o rectificarse.

(v) Principio de limitación del plazo de conservación.

Los datos personales no se conservarán más allá del plazo necesario para conseguir el fin para el cual se tratan, salvo en los supuestos previstos legalmente.

(vi) Principios de integridad y confidencialidad.

En el tratamiento de los datos personales se deberá garantizar, mediante medidas técnicas u organizativas, una seguridad adecuada que los proteja del tratamiento no autorizado o ilícito y que evite su pérdida, su destrucción y que sufran daños accidentales. Los datos personales, recabados y tratados por GRCX3 deberán ser conservados con la máxima confidencialidad, no pudiendo ser utilizados para otros fines distintos de los que justificaron y permitieron su recogida y sin que puedan ser comunicados o cedidos a terceros fuera de los casos permitidos por la legislación aplicable.

(vii) Principio de responsabilidad proactiva.

– GRCX3 será responsable de cumplir con los principios estipulados en la presente Política de protección de datos personales y los exigidos en la legislación aplicable y deberán ser capaces de demostrarlo, cuando así lo exija la legislación aplicable.

– GRCX3 deberá realizar un análisis de necesidad de evaluación del riesgo de los tratamientos que realicen, con el fin de determinar las medidas a aplicar para garantizar que los datos personales se tratan conforme a las exigencias legales.

– En los casos en los que la ley lo exija, se evaluarán, de forma previa, los riesgos que para la protección de datos personales puedan comportar nuevos productos, servicios o sistemas de información y se adoptarán las medidas necesarias para eliminarlos o mitigarlos.

– GRCX3 deberá llevar un registro de actividades en el que se describan los tratamientos de datos personales que lleven a cabo en el marco de sus actividades.

– En el caso de que se produzca un incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos, deberán seguirse un PROTOCOLO DE NOTIFICACION DE QUIEBRAS DE SEGURIDAD, establecido a tal efecto y, en su caso, los que establezca la legislación aplicable. Dichos incidentes deberán documentarse y se adoptarán medidas para solventar y paliar los posibles efectos negativos para los interesados.

– Se designará a un delegado de protección de datos con el fin de garantizar el cumplimiento de la normativa.

(viii) Obtención de datos personales.

Queda prohibida la obtención de datos personales de fuentes ilegítimas, de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos datos hayan sido recabados o cedidos contraviniendo la Ley.

(ix) Contratación de encargados del tratamiento.

Con carácter previo a la contratación de cualquier prestador de servicios que acceda a datos personales que sean responsabilidad de GRCX3 así como durante la vigencia de la relación contractual, estas deberán adoptar las medidas necesarias para garantizar y, cuando sea legalmente exigible, demostrar, que el tratamiento de datos por parte del encargado se lleva a cabo conforme a la normativa aplicable.

(x) Transferencias internacionales de datos (TID).

Aunque no se realizan TID en la Corporación, si se produjeran en el futuro, deberá llevarse a cabo con estricto cumplimiento de los requisitos establecidos en la ley aplicable en la jurisdicción de origen.

(xi) Derechos de los interesados.

GRCX3 deberá permitir que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición que sean de aplicación en cada jurisdicción, estableciendo, a tal efecto, los procedimientos internos que resulten necesarios para satisfacer, al menos, los requisitos legales aplicables en cada caso.

5. Gestión de riesgos.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

– Regularmente,

– Cuando cambie la información manejada o los sistemas de información,

– Cuando cambien los servicios prestados,

– Cuando ocurra un incidente grave de seguridad,

– Cuando se reporten o detecten vulnerabilidades graves.

6. Implementación.

Conforme a lo dispuesto en esta Política de protección de datos personales, GRCX3 desarrollará y mantendrán actualizada la normativa interna de gestión global de protección de datos y será de obligado cumplimiento para la dirección y todos los usuarios internos del sistema.

GRCX3 a través de sus técnicos (internos o externos) será la encargada de implementar en los sistemas de información de la organización, los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de la normativa interna de gestión global de la protección de datos y velará por que dichos desarrollos estén actualizados en cada momento.

 

7. Obligación de confidencialidad

  1. a) Todo Empleado o Usuario se obliga a acceder y tratar los datos de carácter personal que sean objeto de tratamiento por GRCX3 de conformidad con los términos y condiciones que se incorporan en la presente Política de Tratamiento de Datos. En el mismo sentido, el Usuario se compromete a no acceder ni tratar los datos de carácter personal fuera de los ámbitos de autorización expresamente otorgados por GRCX3.
  2. b) Asimismo, el Usuario se compromete a no utilizar los datos de carácter personal con fines o efectos ilícitos, prohibidos o lesivos de derechos e intereses de terceros o contrarios a las especificaciones recogida en la presente Política, declinando GRCX3 cualquier responsabilidad que de ello se pudiera derivar. Por tanto, queda expresamente prohibido que el Usuario acceda o trate datos de carácter personal para los que no tenga una expresa autorización por parte de GRCX3.
  3. c) El Usuario reconoce y acepta que el acceso y utilización de datos de carácter personal para los que no esté expresamente autorizado será efectuado por su propia cuenta y riesgo.
  4. d) Los Usuarios de los sistemas de información deben guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas los datos de carácter personal, documentos, metodología, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con GRCX3 tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción del contrato laboral.
  5. e) El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a GRCX3 o al afectado, según sea el caso, a exigir al Usuario una indemnización económica.
  6. f) No mandará información confidencial de GRCX3 al exterior, bien sea utilizando soportes informáticos, Internet o cualquier otro medio.
  7. g) Si dispone o utiliza información confidencial de GRCX3, siempre será de modo temporal. No dará lugar a ningún derecho de posesión, titularidad o copia de la misma. Se deberá devolver el material depositado o utilizado por el Usuario a GRCX3, en cuanto finalice la tarea encomendada o la relación laboral con GRCX3.

8. Procedimiento para la creación, rectificación y/o supresión de actividades de tratamiento de datos personales sujetas al registro del art. 30 del RGPD.

  1. a) Todo Usuario interno o externo relacionado con GRCX3 que, en el ejercicio de sus competencias, tenga que recabar y/o procesar datos de carácter personal, debe cumplir con el procedimiento siguiente:
  • Deberá tener la autorización previa del responsable del tratamiento
  • Deberá obtener y gestionar el consentimiento de los interesados a través de las bases de licitud disponibles en el art. 6 del RGPD.
  • Deberá informar con carácter previo al titular de los requisitos determinados en el art. 13 del RGPD, en especial de:
    1. Finalidad del tratamiento
    2. Identidad del responsable del tratamiento
    3. Base de licitud
    4. Plazo de conservación
    5. Derechos que asisten al interesado
    6. Derecho a presentar una reclamación ante la AEPD.
    7. El carácter obligatorio o no de la respuesta, así como las consecuencias de la negativa a suministrarlos.
    8. b) No se podrá recoger ni procesar datos sin la aprobación previa del responsable del tratamiento.
    9. c) Se comprometerán a garantizar la seguridad de los datos recogidos y/o procesados, así como almacenados, conservándolo solamente el tiempo exigido legalmente.

9. Ejercicio de derechos.

Los usuarios internos deberán comunicar cualquier solicitud que les llegue en relación con el ejercicio de derechos por parte de los interesados al responsable del tratamiento, y/o, en su defecto, a la persona que GRCX3 designe con el fin de verificar si procede el ejercicio y, en su caso, proceder al mismo.

En los términos y con las limitaciones establecidas en el capítulo III del RGPD, tiene derecho a:

– Ser informado sobre el tratamiento de sus datos personales en el momento en que se obtengan los mismos.

– Obtener confirmación de si se están tratando o no sus datos personales y, en tal caso, el derecho de acceso a los mismos.

– Obtener sin dilación indebida, la rectificación de los datos personales que sean inexactos o a completar los datos incompletos.

– Obtener sin dilación indebida la supresión de sus datos personales.

– Obtener la limitación del tratamiento de sus datos.

– Obtener la portabilidad de sus datos personales con las limitaciones previstas en el artículo 20 del RGPD.

– Oponerse al tratamiento de sus datos personales.

– No ser objeto de una decisión individual basada únicamente en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que le produzca efectos jurídicos o afecte significativamente de modo similar, salvo en los supuestos permitidos legalmente.

De conformidad con el artículo 19 del RGPD, nos comprometemos a comunicar cualquier rectificación o supresión de datos personales o limitación de tratamiento a cada uno de los destinatarios a los que se hayan comunicado los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.

¿Cómo puede ejercitar sus derechos en relación con los datos personales facilitados?

Puede obtener más información sobre cada tratamiento y cómo ejercitar los derechos en relación con sus datos personales, a través de la dirección de correo electrónico: derechos@grcx3.com  

En el supuesto de que no obtenga satisfacción en el ejercicio de sus derechos, podrá presentar una reclamación ante la Agencia Española de Protección de Datos: https://www.aepd.es/index.htm

10. Gestión de notificación de incidentes de seguridad

Cualquiera de los usuarios con acceso a datos de carácter personal debe comunicar las incidencias, brechas o violaciones de seguridad. Se entenderá que existe una brecha de seguridad o una violación de seguridad de los datos en aquellos  casos en los que la violación de la seguridad ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

El conocimiento de la producción de una incidencia, brechas o violaciones de seguridad y su no comunicación será considerado una falta contra la seguridad y una infracción conforme el Reglamento General de Protección de Datos.

En aquellos casos en los que GRCX3 determine que la Brecha de Seguridad constituya un riesgo para los derechos y libertades de las personas físicas, deberá, en todo caso, proceder a su notificación a la Agencia Española de Protección de Datos sin dilación indebida y, a más tardar, 72 horas después de que haya tenido constancia de ella.

11. Medidas de seguridad

GRCX3 cuenta con una Política de Seguridad de la Información con el fin de gestionar el riesgo cibernético y el uso de las tecnologías de la información.

Dentro de esa política, GRCX3 cuenta con una política de uso de medios tecnológicos que alcanza y gobierna el uso de las herramientas tecnológicas que se pone a disposición de los Usuarios.

12. Registro de actividades de tratamiento

En aras del principio de transparencia, GRCX3 pondrá a disposición de las partes interesadas, internas y externas, el registro de actividades de tratamiento exigido en el art. 30 del RGPD.

13. Información sobre el riesgo a derechos y libertades.

Dentro del compromiso legal y ético de GRCX3 y alineado con el Considerando 39 del RGPD así como en las mejores prácticas internacionales, nos comprometemos a identificar el riesgo inherente a cada actividad de tratamiento y a informarlo a las partes interesadas, cómo ha sido gestionado el mismo, he incluyendo, en su caso, la publicación de las preceptivas evaluaciones de impacto en las circunstancias que sean exigidas al estar ante un alto riesgo a derechos y libertades.

14. Control y evaluación

– GRCX3 supervisará el cumplimiento de lo dispuesto en esta Política de protección de datos personales.

– Para verificar el cumplimiento de esta Política de protección de datos personales se realizarán auditorías periódicas con auditores internos o externos.

15. Aprobación, entrada en vigor y actualizaciones.

La política será comunicada a las partes interesadas, internas y externas, dentro del alcance, y quedará a disposición de las mismas para cualquier consulta. La política será revisada con periodicidad anual, de forma que sea adecuada a las necesidades y objetivos de GRCX3; de la misma forma, cuando existan circunstancias extraordinarias motivadas por cambios en los objetivos o por cambios en el ámbito legal.

Esta política ha sido aprobada con fecha 26 de octubre de 2023.

Versión 1.01