INTRODUCCIÓN
El presente documento y sus anexos, han sido redactados en cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 de protección de datos de carácter personal y recoge la política de protección de datos de la empresa así como las medidas de índole técnica y organizativa necesarias
para garantizar la la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal.
El presente manual de protección de datos responde a la necesidad de la empresa como responsable del tratamiento de cumplir con las obligaciones derivadas del Reglamento (UE) 2016/679 de protección de datos de carácter personal, teniendo en cuenta la infraestructura y las circunstancias particulares de la organización.
El Responsable del Tratamiento, según el Reglamento (UE) 2016/679 de protección de datos, es la persona física y/o jurídica, privada o pública, que decide sobre el tratamiento de los datos. Esta responsabilidad debe desarrollarla durante toda la “vida” del dato, es decir, desde que este entra a
formar parte del sistema de información hasta la eliminación del mismo.
Su condición de Responsable hace que está sujeto a los requerimientos establecidos en la normativa y que, en consecuencia, tenga que observar cuantas obligaciones disponga el Reglamento.
POLÍTICA DE PROTECCIÓN DE DATOS
Biomedica Trinon, S.L con CIF B83295295 domicilio social en Avenida de Somosierra 24 2º-G localidad San Sebastian de los Reyes CP 28703. provincia Madrid es responsable de los tratamientos de datos de carácter personal que realiza.
Biomedica Trinon, S.L aplica el principio de responsabilidad activa en el tratamiento de sus datos de carácter personal, manteniendo una constante puesta al día y una promoción de la mejora continua del sistema de protección de datos. Mantiene toda la documentación y los registros a disposición de la autoridad de control y de los encargados del tratamiento aportando las evidencias que demuestren su firme compromiso con la protección de los datos de carácter personal.
Biomedica Trinon, S.L garantiza:
– el respeto a las libertades y los derechos fundamentales de las personas físicas
– que los datos son tratados de manera lícita, leal y transparente
– que los datos tratados son exactos, adecuados, pertinentes y limitados en relación con los fines para los que son recogidos
– que los fines para los que son recogidos son explícitos y legítimos y que no son tratados de manera incompatible con dichos fines.
– que los datos no se mantendrán más allá del tiempo necesario para los fines para los que han sido recabados
– las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
En aquellos tratamientos de datos que entrañen un alto riesgo para los derechos y libertades de las personas Biomedica Trinon, S.L realizará una evaluación de impacto conforme se recoge en el presente manual.
Asimismo si tuviera que designar un delegado de protección de datos para el asesoramiento, la supervisión y la cooperación entre la empresa y la autoridad de control se determinará de conformidad con el art. 37 del Reglamento (UE) 2016/679 y según lo establecido en el presente manual.
ALCANCE y ÁMBITO DE APLICACIÓN
Biomedica Trinon, S.L está establecida en España y realiza, para el ejercicio de sus actividades, el tratamiento de datos de carácter personal de ciudadanos residentes en la Unión Europea. Es responsable del tratamiento de los datos personales. En representación legal actúa Pablo Valencia
Moya.
Las actividades desarrolladas se pueden resumir en las siguientes: DISTRIBUIDORA DE MATERIAL DE IMPLANTOLOGÍA DENTAL.
Para el desarrollo de sus actividades la empresa cuenta con los siguientes centros de trabajo: Centro principal.
Los corresponsables del tratamiento, cuando existan, determinan de modo transparente y de mutuo acuerdo las responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento (UE) 2016/679.
Las actividades de tratamiento realizadas por la empresa se recogen en el Registro de Actividades de Tratamiento del presente manual. En el citado registro queda recogido el ámbito territorial de cada una de las actividades.
Para el cumplimiento de las obligaciones como encargado del tratamiento, cuando se traten datos por cuenta de terceros y en virtud del art. 28 del Reglamento (UE) 2016/679 se estará a lo dispuesto por la cláusulas contractuales que se añaden al contrato de prestación de servicios.
En cuanto al sistema de tratamiento y/o almacenamiento de datos, la empresa realiza:
– Tratamiento automatizado de datos personales (Digital / Informática). Datos que son tratados de manera automatizada o mecanizada, es decir, en formato electrónico o digital mediante sistemas informáticos
– Tratamiento no automatizado de datos personales (Manual / Papel). Datos que son tratados de manera manual, sin ningún sistema automatizado, es decir, los datos que se tratan exclusivamente en formato papel.
BASES DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
Identificación de la base legal sobre la que se desarrolla el tratamiento El Reglamento (UE) 2016/679 conserva el principio establecido en la Directiva 95/46 en virtud del cual todo tratamiento de datos personales debe apoyarse en una base jurídica que lo legitime.
Establece, como regla general, que los datos personales deben ser tratados con el consentimiento del interesado, pero admite cualquier otra base legítima conforme a Derecho: relación contractual, intereses vitales del interesado o de terceros, obligación legal para el responsable, interés público,
etc.
Teniendo en cuenta el principio general de “responsabilidad proactiva”, es un requisito apoyar el tratamiento de los datos en una base que lo legitime. Se tiene documentado el interés legítimo en el que se fundamenta cada actividad de tratamiento y así lo el Registro de Actividades de Tratamiento.
Asimismo teniendo en cuenta el principio de transparencia y de información, la empresa proporciona la base legal del tratamiento a todos los interesados como se indica en el apartado correspondiente del presente manual.
Licitud basada en el contrato de prestación de servicios
El tratamiento de los datos personales necesarios para la correcta prestación de los servicios acordados contractualmente fija la base jurídica necesaria para efectuar dicho tratamiento.
Sólo se recaba el consentimiento de los interesados si las finalidades son distintas a las acordadas contractualmente.
Licitud basada en el consentimiento
El consentimiento se regula en el art. 6 del Reglamento (UE) 2016/679 como uno de los supuestos que legitiman el tratamiento de datos, adicionalmente en el art. 7 se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. También se regula el mismo en los considerandos 32, 40, 42, 43 y 171.
El consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo.
El consentimiento del interesado podrá ser escrito, por medios electrónicos o por voz, conservando los registros a disposición de la autoridad de control.
En el caso que se traten datos de carácter personal que no han sido recabados directamente de los interesados, se garantiza que los derechos y libertades de los interesados prevalecen sobre los intereses legítimos perseguidos por la empresa.
TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS.
El Reglamento (UE) 2016/679 recoge que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten, como en las respuestas a los ejercicios de los derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Según establece el art. 13 Reglamento (UE) 2016/679, cuando los datos se o
– La identidad y los datos de contacto del responsable.
– Los datos del delegado de protección de datos, en su caso.
– Los fines del tratamiento a que se destinan los datos personales, la base jurídica y
el interés legítimo.
– Los destinatarios o las categorías de destinatarios.
– El plazo de conservación de los datos personales o los criterios utilizados para determinarlo.
– La existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación
del tratamiento, a oponerse y el derecho a la portabilidad.
– El derecho a presentar una reclamación ante la autoridad de control.
Los datos de carácter personal podrán ser cedidos, previa autorización del interesado previo análisis de la cesión (las cesiones pueden estar basadas en requisitos legales o contractuales o en un requisito necesario para suscribir un contrato)
La existencia de decisiones automatizadas y elaboración de perfiles estarán sujetas a la evaluación de impacto, informando debidamente a los interesados al respecto.
Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado y la información abarca esa otra finalidad y cualquier otra información pertinente.
ADECUACIÓN AL REGLAMENTO (UE) 2016/679
Consultoría Protección de Datos dispone de licencia de uso de la herramienta de ayuda www.consultoriaprotecciondedatos.es para el cumplimiento de los requisitos establecidos por el REGLAMENTO (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos). Consultoría Protección de Datos constata que Biomédica Trinon, S.L ha completado el proceso de adecuación a los referidos requisitos y que en base a la información aportada en la ejecución del proceso de volcado de los datos necesarios, identificativos de los tratamientos, de la estructura de la empresa así como otros datos relativos a las
medidas técnicas y organizativas:
– dispone de toda la documentación necesaria acreditativa de la debida diligencia y proactividad en el cumplimiento del Reglamento General de Protección de Datos.
– mantiene en su política de protección de datos el principio de responsabilidad proactiva para el tratamiento de los datos de carácter personal, manteniendo una constante puesta al día y una promoción de la mejora continua del sistema de protección de datos.
– garantiza un tratamiento de datos basado en el respeto a las libertades y los derechos fundamentales de las personas físicas.
DERECHOS DE LOS INTERESADOS
Procedimiento para el ejercicio y obligaciones para el responsable.
Con carácter general, el Reglamento (UE) 2016/679 exige a los responsables que faciliten a los interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. El Reglamento (UE) 2016/679 no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.
Biomedica Trinon, S.L garantiza que el ejercicio de estos derechos es gratuito para el interesado, siempre que las solicitudes no sean manifiestamente infundadas o excesivas, especialmente por repetitivas, correspondiendo al responsable de la empresa demostrar el carácter infundado o excesivo de las solicitudes, pudiendo en estos casos el responsable cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar.
Se informará al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas.
Esa ampliación del plazo se notifica dentro del primer mes. Si el responsable decide no atender la solicitud, debe informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Se toman todas las medidas razonables para verificar la identidad de quienes ejerzan los derechos reconocidos en el Reglamento (UE) 2016/679, a través del requerimiento del documento nacional de identidad o documento equivalente que acredite la identidad del interesado. Asimismo mantiene
un REGISTRO DE EJERCICIOS DE LOS DERECHOS donde se recogen y se mantiene un control de todos los ejercicios de los derechos solicitados por los interesados.
Para el ejercicio de los derechos a través de solicitudes la empresa facilita a los interesados que deseen ejercitar sus derechos los modelos correspondientes recogidos en los anexos y concretados en los puntos siguientes:
Derecho de acceso
El derecho de acceso viene regulado en al art. 15 del Reglamento (UE) 2016/679. En los considerandos 63 y 64, se recoge como un derecho del interesado a obtener, del responsable del tratamiento, confirmación de si se están tratando o no datos personales que le conciernen.
El interesado que solicite este derecho y que se identifique convenientemente obtendrá de la empresa la debida respuesta mediante un documento informativo
Si la respuesta al derecho de acceso se remitiera por correo, al solicitante del derecho se le remitirá el documento de respuesta mediante carta con acuse de recibo, burofax o cualquier otro medio que acredite el envío y la recepción.
Si la respuesta es estimatoria, la información incluirá los datos personales del interesado que son objeto de tratamiento, los fines del tratamiento, las categorías de datos personales tratados así como los destinatarios o categorías de destinatarios a los que se comunican o serún comunicados los datos, además de cualquier información disponible sobre el origen de los datos, el plazo previsto de conservación de los mismos o, de no ser posible, los criterios utilizados para determinar este plazo, asá como el derecho a presentar una reclamación ante una autoridad de control. Asimismo se indicará al interesado la existencia del derecho a solicitar del respo
Para la limitación de los datos, la empresa seguirá alguno de los siguientes métodos:
– Trasladará temporalmente los datos seleccionados a otro sistema de tratamiento.
– Impedirá el acceso de usuarios a los datos personales seleccionados.
– Retirará temporalmente los datos publicados de un sitio internet.
– Indicará claramente en el sistema (fichero automatizado) que los datos que se pretenden tratarse encuentra limitado su tratamiento.
En los casos en los que la empresa proceda a la limitación del tratamiento, los datos del afectado sólo podrán ser objeto de tratamiento:
– para su conservación.
– con el consentimiento del interesado.
– para la formulación, el ejercicio o defensa de reclamaciones.
– para la protección de los derechos de la persona física o jurí-dica
– por razones de interés público de la UE o Estados miembros.
Una vez limitados los datos se informará al interesado justificando su decisión así como la limitación llevada a cabo.
Igualmente se informará cuando se levante la limitación al tratamiento.
Derecho de supresión / derecho al olvido
El art. 17 del Reglamento (UE) 2016/679 indica que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.
El interesado puede solicitar el derecho de rectificación de sus datos.
La empresa procede a la supresión del tratamiento de los datos del interesado cuando concurra alguna de las circunstancias siguientes:
– los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos.
– el interesado retira el consentimiento en que se basa el tratamiento y no se base en otro fundamento jurídico.
– el interesado se opone al tratamiento (derecho de oposición).
– los datos personales se han tratado de forma ilícita.
– los datos personales se suprimen para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento.
– los datos personales se han obtenido en relación con la oferta directa a niños de servicios de sociedad de la información.
La empresa no procede a aceptar las peticiones de supresión del interesado cuando el tratamiento sea necesario en los siguientes supuestos:
– para ejercer el derecho a la libertad de expresión e información.
– para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la UE o de los Estados miembros que se aplique al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
– por razones de interés público en el ámbito de la salud pública.
– con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
– para la formulación, el ejercicio o la defensa de reclamaciones.
La empresa informa sin dilación del carácter estimatorio o desestimatorio del derecho solicitado por el interesado, así como la supresión llevada a cabo.
Derecho de oposición
El derecho de oposición viene regulado en el art. 21 del Reglamento (UE) 2016/679. Podemos decir que es el derecho del interesado a oponerse, en cualquier momento, por motivos legítimos y fundados relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamiento.
Cuando el interesado ejercite el derecho de oposición, Biomedica Trinon, S.L dejará de tratar dichos datos personales, realizando un análisis con el fin de considerar si prevalece o no el derecho del interesado sobre los intereses legítimos de la empresa. Para tal fin se analizará pormenorizadamente la situación, los motivos y la documentación aportada por el interesado.
Si existen motivos legítimos que justifiquen el tratamiento (por ejemplo para la formulación, el ejercicio o la defensa de reclamaciones) se seguirán tratando los datos, aunque se atienda la solicitud del interesado, pudiendo desestimarse.
Derecho de portabilidad
El art. 20 del Reglamento (UE) 2016/679, recoge que los usuarios tienen un nuevo derecho, el derecho a la portabilidad. Este derecho complementa al derecho de acceso, ya que permite a los interesados obtener los datos que se han proporcionado en un formato estructurado, de uso común y de lectura mecánica.
El derecho a la portabilidad también implica que los datos personales del interesado podrán transmitirse directamente de una entidad o empresa a otra, sin necesidad de ser entregados al propio interesado, siempre que ello sea técnicamente posible.
El Reglamento abre así la posibilidad no sólo de obtener los datos y reutilizarlos, sino también de transmitirlos a otro proveedor de servicios. Por tanto, el interesado tendrá la opción de solicitar sus datos o la transmisión de los mismos directamente de una entidad a otra.
Una vez solicitado el derecho se remite al interesado todos aquellos datos personales que le incumban y que haya facilitado, siempre y cuando el tratamiento está basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados.
Asimismo facilita que los interesados reciban los datos en un formato estructurado de uso común y de lectura mecánica e interoperable, siempre que la tecnología lo permita.
La empresa no aplica el derecho a la portabilidad a los datos que el interesado haya facilitado sobre terceras personas ni sobre los datos que le hayan sido proporcionados a través de terceros.
RELACIONES RESPONSABLE – ENCARGADO
Elección del encargado del tratamiento
El art. 28 del Reglamento (UE) 2016/679 manifiesta que “el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
A su vez, en el considerando 81 se añade que, en particular, el responsable atenderá a los conocimientos especializados, fiabilidad y recursos del encargado de tratamiento, de cara a la aplicación de las medidas técnicas y organizativas que cumplan los requisitos del Reglamento. Biomedica Trinon, S.L garantiza una diligencia debida en la elección del encargado del tratamiento que ofrezca garantías suficientes para que el tratamiento de los datos se realice conforme al Reglamento (UE) 2016/679, y proteja los derechos de las personas afectadas.
Biomedica Trinon, S.L es responsable de los tratamientos de datos realizados por el encargado y no pierde esta consideración en ningún caso.
Con todos y cada uno de los encargados de tratamiento elegidos Biomedica Trinon, S.L suscribe un contrato de confidencialidad vinculante regulando la relación entre ambos. Es posible que el acuerdo de confidencialidad entre responsable y encargado forme parte del contrato de prestación de servicios. En este caso se añadirá al contrato una cláusula de protección de datos específica que recoja el contenido del anexo citado en el párrafo anterior.
El contrato garantiza entre otros aspectos:
– que el encargado del tratamiento no recurre a otro encargado del tratamiento sin la autorización previa por escrito de la empresa responsable de los tratamientos de datos.
– que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad de los datos y que poseen la formación necesaria en la materia
– que el encargado del tratamiento pondrá a disposición del responsable toda la documentación necesaria para demostrar el cumplimiento de las obligaciones y que contribuirá a la realización de auditorías por parte del responsable.
En el REGISTRO DE ENCARG ADOS DE TRATAMIENTO se recogen todos los encargados del tratamiento contratados por la empresa.
Verificación del cumplimiento de las obligaciones
En función al art. 28 apdo 3.h) del Reglamento (UE) 2016/679, Biomedica Trinon, S.L requiere a cada encargado del tratamiento para que al menos con una periodicidad anual demuestre que mantiene el cumplimiento de las obligaciones contractuales así como las medidas de seguridad que
garantizan la protección de los datos.
Para ello se podrán realizar auditorías de revisión sobre los encargados del tratamiento o en su lugar instar a que el encargado aporte las pruebas documentales necesarias.
Tratamiento de datos por encargo
Cuando un responsable (un cliente habitualmente) solicite el tratamiento de datos por encargo, Biomedica Trinon, S.L actuará como encargado del tratamiento, ateniéndose a todas las obligaciones establecidas por el art. 28 del Reglamento (UE) 2016/679.
Análisis de riesgos. Registro de actividades de tratamiento.
El Reglamento (UE) 2016/679 no ofrece un repertorio de medidas de seguridad predefinidas. Lo que plantea es que las medidas de seguridad se establezcan en función al riesgo detectado y que puedan adaptarse en función a los nuevos riesgos o a las circunstancias cambiantes de la empresa.
básicamente se trata de un enfoque proactivo en lo que respecta a la seguridad que exige no solo la existencia de esas medidas en un papel sino a su aplicación efectiva.
Biomedica Trinon, S.L cumple con el citado enfoque proactivo en la seguridad del tratamiento de los datos estableciendo garantías de seguridad adecuadas que eviten, fundamentalmente:
– El tratamiento no autorizado o ilícito de datos personales.
– La pérdida de los datos personales, la destrucción o el daño accidental.
Para determinar las medidas técnicas y organizativas se tiene en cuenta el estado de la técnica, los costes de la aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que éstos pueden generar sobre de los derechos y libertades de las personas físicas.
El análisis de los riesgos es el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.
Para ello, se han definido la naturaleza y los tipos de tratamiento que Biomedica Trinon, S.L realiza, sus características, finalidades, modos de tratamiento, posibles destinatarios y control del personal con acceso a los datos.
De este análisis se determina si cada actividad de tratamiento tiene ESCASO RIESGO (nivel BAJO según la LOPD de 1999) o por el contrario tiene un ALTO RIESGO (niveles MEDIO y ALTO según la LOPD) para los derechos y libertades fundamentales de las personas.
Este procedimiento de análisis de las actividades de tratamiento y de los riesgos que conllevan se repite y se revisa de forma periódica al objeto de garantizar el principio de responsabilidad proactiva.
Los resultados de la evaluación de riesgos se recogen en el registro de actividades de tratamiento. Si el resultado de la evaluación en todas las actividades de tratamiento determina que el riesgo es ESCASO (bajo) no será necesaria la realización de una evaluación de impacto.
Si el resultado de la evaluación en alguna de las actividades de tratamiento determina que el riesgo es ALTO (medio/alto) se procede a realizar evaluación de impacto, que quedará documentada como se indica en el apartado correspondiente de este manual.
El análisis de los riesgos determinará la existencia del delegado de protección de datos tal como se define en el apartado correspondiente de este manual.
Las medidas técnicas y organizativas aplicadas por la empresa aparecen descritas en el apartado correspondiente a las medidas de seguridad.
Protección de datos desde el diseño y por defecto
En virtud del art. 25 del Reglamento (UE) 2016/679 y teniendo en cuenta la naturaleza, el ámbito de aplicación, el contexto y la finalidad de los tratamientos indicados en el apartado anterior, la empresa tiene implantadas las medidas de seguridad, tanto técnicas como organizativas, que
garantizan que los tratamientos son realizados de forma segura.
Asimismo la empresa garantiza que el tratamiento de los datos se analiza con carácter previo y durante la actividad de tratamiento, determinando el alcance del tratamiento, los datos mínimos necesarios para atender la finalidad prevista, la duracin del tratamiento, la conservación de los datos y el control de acceso a los mismos.
Para cada actividad de tratamiento y con carácter previo al mismo, cumpliendo con la protección desde el diseño y por defecto, la empresa analiza todos los aspectos implicados en la seguridad del tratamiento: los riesgos para las libertades y los derechos de las personas en función a la naturaleza
de los datos que se van a solicitar, la finalidad para la que se solicitan, el origen, el tipo de tratamiento, los destinatarios, la posibilidad de realizar transferencias internacionales de los datos, la posibilidad de realizar estudios de perfiles y la cantidad de datos que se esperan tratar.
En base a lo anterior se determinan los medios de tratamiento más adecuados, siendo en cualquier caso, medios técnicos y organizativos que garanticen el cumplimiento del Reglamento (UE) 2016/679.
Durante las actividades de tratamiento la empresa adopta las medidas de control, técnicas y organizativas, que se describen en este manual tanto sobre los medios de tratamiento como sobre las personas con acceso a los datos tratados.
La empresa garantiza que, por defecto, los datos no son accesibles a un número indeterminado de personas físicas, que sólo son accesibles para las personas autorizadas (tanto encargados del tratamiento como trabajadores de la empresa), y a través de medios controlados y supervisados de
forma periódica.
En el siguiente apartado se recogen las medidas adoptadas, tanto de Ã-ndole técnica como organizativa, para la protección de los datos; soportes y modos de almacenamiento, control de accesos, copias de seguridad, compromisos de confidencialidad, etc.
Medidas de seguridad técnicas y organizativas
El Reglamento (UE) 2016/679 indica que las medidas de seguridad deberán ser proporcionales y adecuadas al riesgo detectado en cada actividad de tratamiento.
Para garantizar la protección permanente se realiza un proceso de verificación, evaluación y valoración periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Para las medidas técnicas, el responsable o en su defecto la persona designada dispone de un procedimiento de control de los soportes que contienen datos personales.
Se atiende el compromiso de formar a todos los trabajadores que tienen acceso y/o tratan datos de carácter personal. Una formación en materia de protección de datos adecuada y revisable (en el registro de control se incluye un apartado específico para la formación de cada trabajador).
Mención especial a las medidas organizativas adoptadas para garantizar que las personas autorizadas a tratar datos personales sigan determinadas instrucciones y buenas pá¡cticas que manifiestan conocer, comprender y respetar.
Violaciones de seguridad de datos de carácter personal. Brechas de seguridad.
Biomedica Trinon, S.L ha tenido en cuenta los riesgos que presenta el tratamiento como consecuencia de su destrucción, pérdida o alteración accidental o ilícita que son transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos para evaluar el
nivel de seguridad aplicado.
Cuando se produzcan violaciones de seguridad como por ejemplo, el robo o acceso indebido a los datos personales y en cumplimento de los artículos 33 y 34 del Reglamento (UE) 2016/679 de datos de carácter personal, se seguirá el procedimiento de registro de la violación de seguridad detectada.
Para la gestión de la brecha o violación de la seguridad de los datos, el responsable de seguridad (o el delegado de protección de datos en su caso) actuará llevando a cabo un procedimiento de análisis y registro de la situación.
Para el análisis se tendrá en cuenta si la violación de los datos afectados supone un riesgo para los derechos y libertades de las personas que pueda provocar daños y perjuicios físicos, materiales o inmateriales o que pueda suponer:
– problemas de discriminación
– usurpación de identidad o fraude
– pérdidas financieras
– daño para la reputación
– pérdida de confidencialidad de datos sujetos al secreto profesional
– reversión no autorizada de la seudonimización o cualquier otro perjuicio económico
o social significativo
Asimismo se analiza si la violación de los datos puede privar a los interesados de sus derechos y libertades o les impide ejercer el control sobre datos personales que revelen:
– el origen étnico o racial
– las opiniones políticas
– la religión o creencias filosóficas
– la militancia en sindicatos
– el tratamiento de datos genéticos
– datos relativos a la salud o datos sobre la vida sexual
– relativos a las condenas e infracciones penales o medidas de seguridad conexas
Se analizan los casos en los que se evalúen aspectos personales:
– en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
– situación económica
– datos de salud
– preferencias o intereses personales
– fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar
perfiles personales
Si en el análisis anterior se llega a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, se notificará dicha violación en el Registro de la Agencia Española de protección de datos y se notificará al afectado.
Delegado de protección de datos
Conforme al artículo 37.1 del RGPD son 3 casos específicos en los que el responsable o el encargado del tratamiento designarán un delegado de protección de datos:
– cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los Tribunales que actúen en el ejercicio de su función judicial.
– cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
– cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
La empresa garantiza que el DPD participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales y le da respaldo en el desempeño de sus funciones. Asimismo le facilita los recursos necesarios para el desempeño de sus funciones y para
el mantenimiento de sus conocimientos, el acceso a los datos personales y a las operaciones de tratamiento.
La empresa garantiza que el delegado de protección de datos no recibe ninguna instrucción en lo que respecta al desempeño de sus funciones, asimismo garantiza que no destituye ni sanciona al delegado de protección de datos por desempeñar sus funciones.
El delegado de protección de datos rinde cuentas a la empresa al más alto nivel jerárquico, atiende a los interesados y está obligado a mantener la confidencialidad en el desempeño de sus funciones. Si el delegado de protección de datos desempeña otras funciones la empresa garantiza que no da
lugar a conflicto de intereses.
Asimismo las funciones del DPD son informar, asesorar y formar al personal de las obligaciones que les incumben, y actúa y coopera como punto de contacto con la autoridad de control.
REDES SOCIALES
BIOTRINON le informa que cuenta con presencia y vínculo en su web con redes sociales Facebook y Twitter y les da uso para mantener informado a sus fan´s de los productos, servicios y novedades, así como plataforma de difusión de sus actividades formativas y empresariales por todo ello les informamos que;
Los datos recogidos mediante dichas redes sociales son tratados conforme a los requisitos legales exigidos en el Reglamento UE de Protección de Datos, Si usted considera interesante ser nuestro “fan” en este tipo de redes sociales, sepa que por seguirnos usted está cediendo sus datos a dichas plataformas y deberá de por ello conocer y aceptar el uso que estas plataformas hacen de sus datos.
Asimismo, le indicamos que BIOTRINON no tratará sus datos para otro fin que no sea única y exclusivamente el consentido por el usuario y aceptado, cumpliendo de esta forma el principio de calidad dispuesto en la Ley Orgánica de Protección de Datos.
El interesado podrá en todo momento darse de baja en dichas redes sociales, con un sencillo “ya no me gusta” si bien ponemos a su disposición el siguiente correo electrónico biotrinon@biotrinon.com con el fin de facilitar la comunicación para cualquier duda en relación a su tratamiento así como su solicitud de baja como fan/amigo/seguidor en las mismas, procediendo BIOTRINON a su eliminación. Por todo ello, si desea ejercer sus derechos ARCO puede enviarnos un email con el asunto BAJA REDES SOCIALES al correo anteriormente indicado.
POLITICA DE COOKIES Y NAVEGACION
www.biotrinon.com utiliza servidores publicitarios con el fin de facilitar contenidos publicitarios que el usuario visualiza en nuestras páginas. Dichos servidores publicitarios utilizan cookies que le permiten adaptar los contenidos publicitarios a los perfiles demográficos de los usuarios. En ningún caso se obtienen datos personales a través de estas cookies.
BIOTRINON pone en conocimiento de sus usuarios que independientemente de los datos de carácter personal que obtiene de los usuarios que contratan sus servicios, BIOTRINON obtiene y conserva la siguiente información:
- Número de visitantes
- Nombre de dominio del proveedor que les da acceso a la red
- Fecha y hora de acceso al Sitio Web
- Dirección de Internet desde la que parte el link que dirige al usuario a nuestro Sitio Web.
www.biotrinon.com comunica a los usuarios, a través de este aviso, que utiliza cookies cuando se navega por sus diferentes pantallas y páginas.
Una cookie es un archivo de texto muy pequeño que un servidor web puede guardar en su disco duro para almacenar algún tipo de información sobre el usuario. La cookie identifica el equipo (ordenador) de forma única, y sólo puede ser leída por el sitio web que lo envió al equipo. Normalmente los sitios web utilizan las cookies para obtener información estadística sobre sus páginas web.
Una cookie no es un archivo ejecutable, no puede propagar o contener un virus y no puede tener una longitud superior a 4.000 caracteres.
www.biotrinon.com utiliza cookies con la exclusiva finalidad de elaborar estadísticas de utilización de su sitio web. La información que www.biotrinon.com almacena en su equipo mediante este mecanismo consiste únicamente en un número que identifica a su equipo y que permitirá reconocerle en sus próximas visitas, no contiene datos personales o información económica o de salud.
www.biotrinon.com puede utilizar las cookies con el objeto de reconocer a los usuarios que se hayan registrado y poder ofrecerles un mejor servicio y más personalizado. Asimismo pueden ser utilizadas para obtener información acerca de la fecha y hora de la última visita del usuario, medir algunos parámetros de tráfico dentro del propio site y estimar el número de visitas realizadas, de manera que EMPRESA pueda enfocar y ajustar los servicios y promociones de forma más efectiva.
El usuario puede configurar su navegador para aceptar, o no, las cookies que recibe o para que el navegador le avise cuando un servidor quiera guardar una cookie:
- Si utiliza Microsoft Internet Explorer, en la opción de menú Herramientas > Opciones de Internet > Privacidad > Configuración.
- Si utiliza Firefox, en la opción de menú Herramientas > Opciones > Privacidad > Cookies.
- Si utiliza Safari, en la opción de menú Safari > Preferencias > Seguridad > Aceptar cookies
www.biotrinon.com le agradece que acepte la aceptación de cookies ya que esto nos ayuda a obtener datos más precisos que nos permiten mejorar el contenido y el diseño de nuestra página web para adaptarlo a sus preferencias y necesidades.
Esta página web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc., una compaña de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). Google Analytics utiliza “cookies”, que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar el uso que hacen los usuarios del sitio web. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta nuestra con el propósito de seguir la pista de su uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet. Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google. Google no asociará su dirección IP con ningún otro dato del que disponga Google. Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionabilidad de este website. Al utilizar este website Usted consiente el tratamiento de información acerca de Usted por Google en la forma y para los fines arriba indicados.
También se utilizará de manera puntual el servicio de SemRush para analizar el posicionamiento de la página web.