Tratamiento de datos personales y derechos de los afectados
Ercros dispone de una política de tratamiento de datos personales y un procedimiento sobre derechos de los afectados que puedes consultar en esta página
Tratamiento de datos personales y derechos de los afectados
Introducción
El objeto de la política de tratamiento de datos y el procedimiento de derechos de los afectados, de forma específica, es orientar y definir acerca de las mejores prácticas para dar cumplimiento a la obligación de ejercitar los derechos de los afectados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos personales que las sociedades de Ercros S.A. efectúa en la figura legal de responsable del tratamiento.
Alcance
El ejercicio de los derechos de los afectados se hará por comunicación directa al responsable de privacidad, apoyado por el área legal para definir los requerimientos legales de este proceso.
El responsable de privacidad tendrá la responsabilidad de asegurar y velar por la actualización de este procedimiento. Asimismo, tiene la responsabilidad de dirigirlo hacia otros potenciales departamentos o áreas cuya información es relevante a la organización dentro del esquema de documentación de Ercros S.A. y los procesos de comunicación internos.
Referencias legales y normativas
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos).
- Ley Orgánica de protección de datos y garantía de derechos digitales (Ley 3/2018, de 5 de diciembre).
Derechos de los afectados
- Los derechos de los interesados vienen regulados en los artículos 15 a 22 del RGPD. Ercros S.A. se compromete a facilitar a los interesados el ejercicio de sus derechos, los procedimientos y las formas, y para ello deben ser visibles, accesibles y sencillos.
- Desde un momento inicial, en la recogida de los datos personales, Ercros S.A. informa a los titulares de los datos personales de sus derechos y de cómo pueden ejercerlos. Deberán articularse procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos, incluso por medios electrónicos.
- Derecho de información.
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de supresión (derecho al olvido).
- Derecho a la limitación del tratamiento.
- Derecho de oposición.
- Derecho a la portabilidad de datos.
Derecho de información
La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el responsable del tratamiento.
La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el responsable informará a las personas interesadas dentro de un plazo razonable, pero, en cualquier caso:
- Antes de un mes desde que se obtuvieron los datos personales.
- Antes o en la primera comunicación con el interesado.
- Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.
Esta obligación se debe cumplir sin necesidad de requerimiento alguno y el responsable deberá poder acreditar, con posterioridad, que la obligación de informar ha sido satisfecha.
El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de tratamiento, e incorporando, en líneas generales, los siguientes detalles:
- Los datos de contacto del delegado de protección de datos, en su caso.
- La base jurídica o legitimación para el tratamiento.
- El plazo o los criterios de conservación de la información.
- La existencia de decisiones automatizadas o elaboración de perfiles.
- La previsión de transferencias a terceros países.
- El derecho a presentar una reclamación ante las autoridades de control.
- Y, además, en el caso de que los datos no se obtengan del propio interesado:
- El origen de los datos.
- Las categorías de los datos.
Derecho de acceso
Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento. Ercros S.A. podrá atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.
Derecho de rectificación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Derecho de supresión
1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
- Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
- El interesado retire el consentimiento en que se basa el tratamiento.
- El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
- Los datos personales hayan sido tratados ilícitamente.
- Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados Miembros que se aplique al responsable del tratamiento.
- Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.
2. Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de estos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
- Para ejercer el derecho a la libertad de expresión e información.
- Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados Miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
- Por razones de interés público en el ámbito de la salud pública.
- Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o para la formulación, el ejercicio o la defensa de reclamaciones.
Derecho al olvido
No está considerado un derecho autónomo o diferenciado de los clásicos derechos ARCO, sino la consecuencia de la aplicación del derecho al borrado de los datos personales. Es una manifestación de los derechos de cancelación u oposición en el entorno online.
Derecho de oposición
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
Limitación al tratamiento
La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.
Se puede solicitar la limitación cuando:
- El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.
- El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello.
- Los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
En el tiempo que dure la limitación, el responsable solo podrá tratar los datos afectados, más allá de su conservación:
- Con el consentimiento del interesado.
- Para la formulación, el ejercicio o la defensa de reclamaciones.
- Para proteger los derechos de otra persona física o jurídica.
- Por razones de interés público importante de la Unión o del Estado Miembro correspondiente.
Portabilidad
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho solo puede ejercerse:
- Cuando el tratamiento se efectúe por medios automatizados.
- Cuando el tratamiento se base en el consentimiento o en un contrato.
- Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible. No es aplicable:
- A los datos de terceras personas que un interesado haya facilitado a un responsable.
- En caso de que el interesado haya solicitado la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.
¿Sobre qué tratamientos podemos dar respuesta?
En aquellos tratamientos que Ercros S.A. actúan como responsable, los interesados pueden ejercer sus derechos y nosotros darles respuesta:
- Empleados.
- Clientes, contactos o proveedores directos.
- Personal que visita nuestras instalaciones.
- Cualquier otra persona cuyos datos personales estén contenidos en algún tratamiento donde alguna empresa del Grupo es responsable del tratamiento.
En el resto de los tratamientos en los que Ercros S.A. (u otra empresa del Grupo) actúa como encargado de tratamiento, el derecho de los afectados debe remitirse hacia el responsable del tratamiento correspondiente.
Procedimiento interno de ejercicio y respuesta de los afectados
- Se establecen los siguientes puntos para garantizar, por un lado, el ejercicio de los derechos por parte de los interesados y, por otro, el cumplimiento de los deberes por parte de Ercros S.A. de responder en plazo a los requerimientos recibidos en esta materia.
- En general debe informarse a toda la organización Ercros S.A. que cualquier petición de derechos de acceso debe hacerse a través de nuestra página web www.ercros.es (acceder a mis derechos) o en la dirección email privacidad@ercros.es.
- Si el interesado acude a la organización por cualquier otro medio se le debe remitir a la página web o correo electrónico, o bien hacerle llegar el anexo 1.
- Junto con el anexo 1, la documentación e información que deben aportar las personas que requieran ejercer estos derechos es la siguiente: nombre y apellidos del interesado, fotocopia del D.N.I. del interesado o, en su caso, fotocopia del D.N.I. de la persona que representa al interesado y documento acreditativo de la representación, petición en que se concreta la solicitud, domicilio a efectos de notificaciones, fecha, firma del solicitante y documentos acreditativos de la petición que formula.
- En caso de que el propio interesado utilice un formulario propio, se comprobará que tienen los mismos datos y que le acompaña la documentación requerida en cada caso. Pero en general deberá remitirse hacia el afectado la utilización del anexo 1.
- Con el fin de garantizar la respuesta en el plazo indicado, el responsable de privacidad comunicará por correo electrónico, u otra vía de comunicación, la respuesta indicada en el anexo 2.
- Deberá realizarse, como primera tarea, una investigación sobre qué datos desea el afectado ejercer sus derechos. Solo se debe dar respuesta a los derechos de los cuales somos responsables del tratamiento.
- Si tras esta investigación se distingue que no somos encargados del tratamiento o simplemente no somos el responsable, debe remitirse al afectado la respuesta del anexo 3.
- El responsable de privacidad deberá resolver en el plazo indicado en la tabla 6, y emitirá respuesta por medio fehaciente (correo certificado con acuse de recibo, si es que el afectado ha exigido este medio) o por email, dando comunicación también al centro de Ercros S.A. correspondiente, que tramitó la solicitud y al director del centro o corporativo y coordinará la habilitación de estos derechos. Para la respuesta pueden utilizarse los modelos del anexo.
Tiempos de respuesta
Se establecen los siguientes plazos para que Ercros S.A. dé respuesta y resuelva sobre estos derechos:
- Acceso: siete días para resolver y 10 para habilitar accesos.
- Rectificación: siete días para responder y 30 días para resolver.
- Supresión: siete días para responder y 30 días para resolver. Oposición: siete días para responder y 30 días para resolver.
- Limitación al tratamiento: siete días para responder y 30 días para resolver.
- Portabilidad: siete días para responder y 30 días para resolver.
Auditoría, evaluación y revisión continua
Ercros S.A. debe realizar acciones de:
- Seguimiento, medición y control de la implementación de este procedimiento para adecuar la normativa legal y las políticas internas.
- Contar con un análisis de riesgos de datos personales que consiste en identificar vulnerabilidades de éxito de este procedimiento y estimar los tratamientos a los riesgos identificados de manera que se mitiguen los mismos, y adoptar las acciones que deben establecerse en el marco de la gestión de la organización.
- Mantener informado al órgano correspondiente de Ercros S.A. de los resultados de las evaluaciones y auditorías externas, determinando y adoptando las decisiones y estrategias del nivel de seguridad definido por ambas partes.