Tractament de dades personals i drets dels afectats

Ercros disposa d'una política de tractament de dades personals i un procediment sobre els drets dels afectats que pots consultar des d'aquesta pàgina

Política de tractament de dades personals (en castellà)
Procediment sobre drets dels afectats (en castellà)

Tractament de dades personals i drets dels afectats

Introducció

L'objecte d'aquest procediment, de manera específica, és orientar i definir sobre les millors pràctiques per a donar compliment a l'obligació d'exercitar els drets dels afectats, en virtut del principi de transparència, sobre les circumstàncies i condicions del tractament de dades personals que les societats d'Ercros S.A. efectua en la figura legal de responsable del tractament.

Abast

L'exercici dels drets dels afectats es farà per comunicació directa al responsable de privacitat, secundat per l'àrea legal per a definir els requeriments legals d'aquest procés. El responsable de privacitat tindrà la responsabilitat d'assegurar i vetllar per l'actualització d'aquest procediment. Així mateix, té la responsabilitat de dirigir-ho cap a altres potencials departaments o àrees la informació de les quals és rellevant a l'organització dins de l'esquema de documentació d'Ercros S.A. i els processos de comunicació interns.

Referèncias legals i normatives

  • Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de protecció de dades).
  • Llei orgànica de protecció de dades i garantia de drets digitals (Llei 3/2018, de 5 de desembre).

Drets dels afectats

  • Els drets dels interessats venen regulats en els articles 15 a 22 del RGPD. Ercros S.A. es compromet a facilitar als interessats l'exercici dels seus drets, els procediments i les formes, i per a això han de ser visibles, accessibles i senzills.
  • Des d'un moment inicial, en la recollida de les dades personals, Ercros S.A. informa els titulars de les dades personals dels seus drets i de com poden exercir-los. 
  • Hauran d'articular-se procediments que permetin fàcilment que els interessats puguin acreditar que han exercit els seus drets, fins i tot per mitjans electrònics.
  • Dret d'informació.Dret d'accés.
  • Dret de rectificació.
  • Dret de supressió (dret a l'oblit).
  • Dret a la limitació del tractament.
  • Dret d'oposició.
  • Dret a la portabilitat de dades.

Dret d'informació

L'obligació d'informar les persones interessades sobre les circumstàncies relatives al tractament de les seves dades recau sobre el responsable del tractament.

La informació s'ha de posar a la disposició dels interessats en el moment en què se sol·licitin les dades, prèviament a la recollida o registre, si és que les dades s'obtenen directament de l'interessat.

En el cas que les dades no s'obtinguin del propi interessat, per conducta d'alguna cessió legítima, o de fonts d'accés públic, el responsable informarà les persones interessades dins d'un termini raonable, però, en qualsevol cas:

  • Abans d'un mes des que es van obtenir les dades personals.
  • Abans o en la primera comunicació amb l'interessat.
  • Abans que les dades, en el seu cas, s'hagin comunicat a altres destinataris.

Aquesta obligació s'ha de complir sense necessitat de cap requeriment i el responsable haurà de poder acreditar, amb posterioritat, que l'obligació d'informar ha estat satisfeta.

El RGPD afegeix requisits addicionals quant a la necessitat d'informar les persones interessades, generalitzant el concepte de tractament, i incorporant, en línies generals, els següents detalls:

  • Les dades de contacte del delegat de protecció de dades, en el seu cas.
  • La base jurídica o legitimació per al tractament.
  • El termini o els criteris de conservació de la información.
  • La existència de decisions automatitzades o elaboració de perfils
  • La previsió de transferències a tercers països.
  • El dret a presentar una reclamació davant les autoritats de control.
  • I, a més, en el cas que les dades no s'obtinguin del propi interessat.
  • L'origen de les dades.
  • Les categories de les dades.

Dret d'accés

Es reconeix el dret a obtenir una còpia de les dades personals objecte del tractament. Ercros S.A. podrà atendre aquest dret facilitant l'accés remot a un sistema segur que ofereixi a l'interessat un accés directe a les seves dades personals.

Dret de rectificació

L'interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la rectificació de les dades personals inexactes que el concerneixin. Tenint en compte els fins del tractament, l'interessat tindrà dret al fet que es completin les dades personals que siguin incomplets, inclusivament mitjançant una declaració addicional.

Dret de supressió

1. L'interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que el concerneixin, el qual estarà obligat a suprimir sense dilació indeguda les dades personals quan concorri alguna de les circumstàncies següents:

  • Les dades personals ja no siguin necessaris en relació amb els fins per als quals van ser recollits o tractats d'una altra manera.
  • L'interessat retiri el consentiment en què es basa el tractament.
  • L'interessat s'oposi al tractament i no prevalguin altres motius legítims per al tractament.
  • Les dades personals hagin estat tractats il·lícitament.
  • Les dades personals hagin de suprimir-se per al compliment d'una obligació legal establerta en el Dret de la Unió o dels Estats membres que s'apliqui al responsable del tractament.
  • Les dades personals s'hagin obtingut en relació amb l'oferta de serveis de la societat de la informació.

2. Quan hagi fet públics les dades personals i estigui obligat a suprimir aquestes dades, el responsable del tractament, tenint en compte la tecnologia disponible i el cost de la seva aplicació, adoptarà mesures raonables, incloses mesures tècniques, amb la intenció d'informar els responsables que estiguin tractant les dades personals de la sol·licitud de l'interessat de supressió de qualsevol enllaç a aquestes dades personals, o qualsevol còpia o rèplica d'aquests.

3. Els apartats 1 i 2 no s'aplicaran quan el tractament sigui necessari:

  • Per a exercir el dret a la llibertat d'expressió i informació.
  • Per al compliment d'una obligació legal que requereixi el tractament de dades imposada pel Dret de la Unió o dels Estats membres que s'apliqui al responsable del tractament, o per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable.
  • Per raons d'interès públic en l'àmbit de la salut pública.
  • Amb finalitats d'arxiu en interès públic, fins de recerca científica o històrica o fins estadístics, en la mesura en què el dret indicat en l'apartat 1 pogués fer impossible o obstaculitzar greument l'assoliment dels objectius d'aquest tractament, o per a la formulació, l'exercici o la defensa de reclamacions.

Dret a l'oblit

No és considerat un dret autònom o diferenciat dels clàssics drets ARC, sinó la conseqüència de l'aplicació del dret a l'esborrat de les dades personals. És una manifestació dels drets de cancel·lació o oposició en l'entorn on line.

Dret d'oposició

L'interessat tindrà dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, al fet que dades personals que el concerneixin siguin objecte d'un tractament, inclosa l'elaboració de perfils sobre la base d'aquestes disposicions. El responsable del tractament deixarà de tractar les dades personals, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de l'interessat, o per a la formulació, l'exercici o la defensa de reclamacions.

Quan el tractament de dades personals tingui per objecte el màrqueting directe, l'interessat tindrà dret a oposar-se en tot moment al tractament de les dades personals que el concerneixin, inclosa l'elaboració de perfils en la mesura en què estigui relacionada amb el citat màrqueting.

Quan l'interessat s'oposi al tractament amb finalitats de màrqueting directe, les dades personals deixaran de ser tractats per a aquests fins.

A tot tardar en el moment de la primera comunicació amb l'interessat, el dret indicat en els apartats 1 i 2 serà esmentat explícitament a l'interessat i serà presentat clarament i al marge de qualsevol altra informació.

Limitació al tractament

La limitació de tractament suposa que, a petició de l'interessat, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien.

Es pot sol·licitar la limitació quan:

  • L'interessat ha exercit els drets de rectificació o oposició i el responsable està en procés de determinar si escau atendre la sol·licitud.
  • El tractament és il·lícit, la qual cosa determinaria l'esborrat de les dades, però l'interessat s'oposa a això.
  • Les dades ja no són necessaris per al tractament, que també determinaria el seu esborrat, però l'interessat sol·licita la limitació perquè els necessita per a la formulació, l'exercici o la defensa de reclamacions.

En el temps que duri la limitació, el responsable només podrà tractar les dades afectades, més enllà de la seva conservació:

  • Amb el consentiment de l'interessat.
  • Per a la formulació, l'exercici o la defensa de reclamacions.
  • Per a protegir els drets d'una altra persona física o jurídica.
  • Per raons d'interès públic important de la Unió o de l'Estat membre corresponent.

Portabilitat

El dret a la portabilitat de les dades és una forma avançada del dret d'accés pel qual la còpia que es proporciona a l'interessat ha d'oferir-se en un format estructurat, d'ús comú i lectura mecànica.

Aquest dret sol pot exercir-se:

  • Quan el tractament s'efectuï per mitjans automatitzats.
  • Quan el tractament es basi en el consentiment o en un contracte.
  • Quan l'interessat el sol·licita respecte a les dades que hagi proporcionat al responsable i que el concerneixin, inclosos les dades derivades de la pròpia activitat de l'interessat.

No és aplicable:

  • A les dades de terceres persones que un interessat hagi facilitat a un responsable.
  • En cas que l'interessat hagi sol·licitat la portabilitat de dades que li incumbeixin però que hagin estat proporcionats al responsable per tercers.

Sobre quins tractaments podem donar resposta?

En aquells tractaments que Ercros S. a. actuen com a responsable, els interessats poden exercir els seus drets i nosaltres donar-los resposta:

  • Empleats.
  • Clientes, contactos o proveedores directos.
  • Personal que visita les nostres instal·lacions.
  • Qualsevol altra persona les dades personals de la qual estiguin continguts en algun tractament on alguna empresa del Grup és responsable del tractament.

En la resta dels tractaments en els quals Ercros S.A. (o una altra empresa del Grup) actua com a encarregat de tractament, el dret dels afectats ha de remetre's cap al responsable del tractament corresponent.

Procediment intern d'exercici i resposta dels afectats

  1. S'estableixen els següents punts per a garantir, d'una banda, l'exercici dels drets per part dels interessats i, per un altre, el compliment dels deures per part de Ercros S. a. de respondre en termini als requeriments rebuts en aquesta matèria.
  2. En general ha d'informar-se a tota l'organització Ercros S. a. que qualsevol petició de drets d'accés ha de fer-se a través de la nostra pàgina web www.ercros.es (accedir als meus drets) o en l'adreça email privacidad@ercros.es
  3. Si l'interessat acudeix a l'organització per qualsevol altre mitjà se li ha de remetre a la pàgina web o correu electrònic, o bé fer-li arribar l'annex 1.
  4. Juntament amb l'annex 1, la documentació i informació que han d'aportar les persones que requereixin exercir aquests drets és la següent: nom i cognoms de l'interessat, fotocòpia del DNI de l'interessat o, en el seu cas, fotocòpia del DNI de la persona que representa a l'interessat i document acreditatiu de la representació, petició en què es concreta la sol·licitud, domicili a l'efecte de notificacions, data, signatura del sol·licitant i documents acreditatius de la petició que formula.
  5. En cas que el propi interessat utilitzi un formulari propi, es comprovarà que tenen les mateixes dades i que li acompanya la documentació requerida en cada cas. Però en general haurà de remetre's cap a l'afectat la utilització de l'annex 1.
  6. Amb la finalitat de garantir la resposta en el termini indicat, el responsable de privacitat comunicarà per correu electrònic, o una altra via de comunicació, la resposta indicada en l'annex 2.
  7. Haurà de realitzar-se, com a primera tasca, una recerca sobre quines dades desitja l'afectat exercir els seus drets. Només s'ha de donar resposta als drets dels quals som responsables del tractament.
  8. si després d'aquesta recerca es distingeix que no som encarregats del tractament o simplement no som el responsable, ha de remetre's a l'afectat la resposta de l'annex 3.
  9. El responsable de privacitat haurà de resoldre en el termini indicat en la taula 6, i emetrà resposta per mig fefaent (correu certificat amb justificant de recepció, si és que l'afectat ha exigit aquest mitjà) o per email, donant comunicació també al centre de Ercros S.A. corresponent, que va tramitar la sol·licitud i al director del centre o corporatiu i coordinarà l'habilitació d'aquests drets. Per a la resposta poden utilitzar-se els models de l'annex.

Temps de resposta

S'estableixen els següents terminis perquè Ercros S.A. doni resposta i resolgui sobre aquests drets:

  • Accés: set dies per a resoldre i 10 per a habilitar accessos.
  • Rectificació: set dies per a respondre i 30 dies per a resoldre.
  • Supressió: set dies per a respondre i 30 dies per a resoldre.
  • Oposició: set dies per a respondre i 30 dies per a resoldre.
  • Limitació al tractament: set dies per a respondre i 30 dies per a resoldre.
  • Portabilitat: set dies per a respondre i 30 dies per a resoldre.

Auditoria, avaluació i revisió contínua

Ercros S.A. ha de realitzar accions de:

  • Seguiment, mesurament i control de la implementació d'aquest procediment per a adequar la normativa legal i les polítiques internes.
  • Comptar amb una anàlisi de riscos de dades personals que consisteix a identificar vulnerabilitats d'èxit d'aquest procediment i estimar els tractaments als riscos identificats de manera que es mitiguin els mateixos, i adoptar les accions que han d'establir-se en el marc de la gestió de l'organització.
  • Mantenir informat a l'òrgan corresponent de Ercros S. a. dels resultats de les avaluacions i auditories externes, determinant i adoptant les decisions i estratègies del nivell de seguretat definit per totes dues parts.