fbpx

Cláusula informativa de la actividad de tratamiento de clientes/usuarios

Datos del responsable del tratamiento:
Titular: Clunnity Sports S.L. – NIF: B06797096
Domicilio social: Calle Ribera 1, Valencia, 46002, España
Teléfono: 695496544 – Correo electrónico: gol@clunnity.com
Página web: https://clunnity.com

Los datos proporcionados serán tratados por Clunnity Sports S.L. con la finalidad de prestarles el servicio solicitado y realizar su facturación. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de datos y oposición y limitación a su tratamiento ante Clunnity Sports S.L., Calle Ribera 1, Valencia, 46002, España o en la dirección de correo electrónico https://clunnity.com/fichanos-2/, adjuntando copia de su DNI o documento equivalente. Puede ampliar esta información en relación con el tratamiento de sus datos personales consultando nuestra Política de privacidad.
Asimismo, solicitamos su autorización para ofrecerle productos y servicios relacionados con los contratados y fidelizarle como usuario de nuestros servicios.

Política de Privacidad

Clunnity Sports S.L. pone a su disposición a través de la página web https://clunnity.com la presente política de privacidad con la finalidad de informarle, de forma detallada, sobre cómo tratamos sus datos personales y protegemos su privacidad y la información que nos proporciona. En caso de introducir modificaciones en un futuro sobre la misma se lo comunicaremos a través de la página web o a través de otros medios de modo que pueda conocer las nuevas condiciones de privacidad introducidas.

En cumplimiento del Reglamento (UE) 2016/679, General de Protección de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales le informamos de lo siguiente:

Responsable del Tratamiento

Titular: Clunnity Sports S.L. – NIF: B06797096
Domicilio social: Calle Ribera 1, Valencia, 46002, España
Teléfono: 695496544 – Correo electrónico: gol@clunnity.com
Página web: https://clunnity.com

¿Con qué finalidad tratamos sus datos personales?

En Clunnity Sports, S.L. recabamos y tratamos su información personal con carácter general para gestionar la relación que mantenemos con Ud. siendo las principales finalidades que tenemos identificadas las siguientes:

  • Gestión y contratación de los productos y servicios ofrecidos por nuestra empresa.
  • Canalizar las solicitudes de información, sugerencias y reclamaciones que nos pueda hacer llegar.
  • Mantenerle informado sobre eventos, ofertas, productos y servicios que puedan resultar de su interés a través de distintos canales de comunicación siempre y cuando Ud. haya prestado su consentimiento.
  • Gestión de la relación laboral, en el caso de nuestros empleados.
  • Gestión de la relación comercial mantenida con nuestros proveedores.

¿Cómo recabamos su información?

Recabamos su información personal a través de diferentes medios, pero siempre será informado en el momento de la recogida mediante cláusulas informativas sobre el responsable del tratamiento, la finalidad y la base legal del mismo, los destinatarios de los datos y el periodo de conservación de su información, así como la forma en que puede ejercer los derechos que le asisten en materia de protección de datos.

En general, la información personal que tratamos se limita a datos identificativos (nombre y apellidos, fecha de nacimiento, domicilio, DNI, teléfono y correo electrónico), servicios contratados y datos de pago y facturación.

En los casos de gestión y selección de personal recogemos los datos académicos y profesionales para poder atender a las obligaciones derivadas del mantenimiento de la relación laboral o en su caso, entrar a formar parte de nuestra plantilla.

Derivado de la finalidad del servicio que le prestamos, del que habrá sido pertinentemente informado y en su caso, se le habrá solicitado consentimiento, podemos tratar los siguientes tipos de datos:

Datos de fitness subjetivos (Calidad de pase, velocidad, minutos jugados, …)

Clunnity Sports S.L. utiliza redes sociales y esta es otra forma de llegar a usted. La información recogida a través de los mensajes y comunicaciones que publica puede contener información personal que se encuentra disponible online y accesible al público. Estas redes sociales cuentan con sus propias políticas de privacidad donde se explica cómo utilizan y comparten su información, por lo que Clunnity Sports S.L. le recomienda que las consulte antes de hacer uso de estas para confirmar que está de acuerdo con la forma en que su información es recogida, tratada y compartida.

A través de nuestra página web recabamos información personal relacionada con su navegación a través del uso de cookies. Para conocer de manera clara y precisa las cookies que utilizamos, cuáles son sus finalidades y cómo puede configurarlas o deshabilitarlas, consulte nuestra Política de Cookies.

Responsabilidad del usuario

Al facilitarnos sus datos a través de canales electrónicos, el usuario garantiza que es mayor de 14 años y que los datos facilitados a Clunnity Sports S.L. son verdaderos, exactos, completos y actualizados. A estos efectos, el usuario confirma que responde de la veracidad de los datos comunicados y que mantendrá convenientemente actualizada dicha información de modo que responda a su situación real, haciéndose responsable de los datos falsos e inexactos que pudiera proporcionar, así como de los daños y perjuicios, directos o indirectos, que pudieran derivarse.

¿Cuánto conservamos su información?

En Clunnity Sports S.L. sólo conservamos su información por el periodo de tiempo necesario para cumplir con la finalidad para la que fue recogida, dar cumplimiento a las obligaciones legales que nos vienen impuestas y atender las posibles responsabilidades que pudieran derivar del cumplimiento de la finalidad por la que los datos fueron recabados.

En todo caso, y por regla general, mantendremos su información personal mientras exista una relación contractual que nos vincule o usted no ejerza su derecho de supresión y/o limitación del tratamiento, en cuyo caso, la información será bloqueada sin darle uso más allá de su conservación, mientras pueda ser necesaria para el ejercicio o defensa de reclamaciones o pudiera derivarse algún tipo de responsabilidad que tuviera que ser atendida.

¿A quién comunicamos sus datos?

En general, en Clunnity Sports S.L. no compartimos su información personal, salvo aquellas cesiones que debemos realizar en base a obligaciones legales impuestas.

Asimismo, su información personal estará a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento.

Transferencias internacionales de datos

No existen transferencias internacionales de sus datos a países fuera del Espacio Económico Europeo (EEE).

¿Cuáles son sus derechos con relación al tratamiento de sus datos y cómo puede ejercerlos?

La normativa en materia de protección de datos permite que pueda ejercer sus derechos de acceso, rectificación, supresión y portabilidad de datos y oposición y limitación a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando proceda.

Estos derechos se caracterizan por lo siguiente:

  • Su ejercicio es gratuito, salvo que se trate de solicitudes manifiestamente infundadas o excesivas (p. ej., carácter repetitivo), en cuyo caso Clunnity Sports S.L. podrá cobrar un canon proporcional a los costes administrativos soportados o negarse a actuar
  • Puede ejercer los derechos directamente o por medio de tu representante legal o voluntario
  • Debemos responder a su solicitud en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo en otros dos meses más.
  • Tenemos la obligación de informarle sobre los medios para ejercitar estos derechos, los cuales deben ser accesibles y sin poder denegarle el ejercicio del derecho por el solo motivo de optar por otro medio. Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que nos solicite que sea de otro modo.
  • Si Clunnity Sports S.L. no da curso a la solicitud, le informará, a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control

A fin de facilitar su ejercicio, le facilitamos los enlaces al formulario de solicitud de cada uno de los derechos:

Formulario ejercicio del derecho de acceso

Formulario de ejercicio del derecho de rectificación

Formulario de ejercicio del derecho de oposición

Formulario de ejercicio del derecho de supresión (derecho “al olvido”)

Formulario de ejercicio del derecho a la limitación del tratamiento

Formulario de ejercicios del derecho a la portabilidad

Formulario de ejercicio a no ser objeto de decisiones individuales automatizadas

Para ejercer sus derechos Clunnity Sports S.L. pone a su disposición los siguientes medios:

  1. Mediante solicitud escrita y firmada dirigida a Clunnity Sports S.L., Calle Ribera 1, Valencia, 46002, España Ref. Ejercicio de Derechos LOPD.
  2. Enviando formulario escaneado y firmado a la dirección de correo electrónico gol@clunnity.com indicando en el asunto Ejercicio de Derechos LOPD.

En ambos casos, deberá acreditar su identidad acompañando fotocopia o en su caso, copia escaneada, de su DNI o documento equivalente para poder verificar que sólo damos respuesta al interesado o su representante legal, debiendo aportar en este caso documento acreditativo de la representación.

Asimismo, y especialmente si considera que no ha obtenido satisfacción plena en el ejercicio de sus derechos, le informamos que podrá presentar una reclamación ante la autoridad nacional de control dirigiéndose a estos efectos a la Agencia Española de Protección de Datos, C/ Jorge Juan, 6 – 28001 Madrid.

¿Cómo protegemos su información?

En Clunnity Sports S.L. nos comprometemos a proteger su información personal.

Utilizamos medidas, controles y procedimientos de carácter físico, organizativo y tecnológico, razonablemente fiables y efectivos, orientados a preservar la integridad y la seguridad de sus datos y garantizar su privacidad.

Además, todo el personal con acceso a los datos personales ha sido formado y tiene conocimiento de sus obligaciones con relación a los tratamientos de sus datos personales.

Todas estas medidas de seguridad son revisadas de forma periódica para garantizar su adecuación y efectividad.

Sin embargo, la seguridad absoluta no se puede garantizar y no existe ningún sistema de seguridad que sea impenetrable por lo que, en el caso de cualquier información objeto de tratamiento y bajo nuestro control se viese comprometida como consecuencia de una brecha de seguridad, tomaremos las medidas adecuadas para investigar el incidente, notificarlo a la Autoridad de Control y, en su caso, a aquellos usuarios que se hubieran podido ver afectados para que tomen las medidas adecuadas.

Registro de Actividades del Tratamiento

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) establece en su artículo 31 relativo al “Registro de Actividades del Tratamiento” la obligación de responsables y encargados de mantener el registro de actividades del tratamiento al que se refiere el artículo 30 del RGPD. Sin corresponderse exactamente con el mapa de procesos de la organización, los tratamientos identificados deben estar integrados en este, mostrando las interrelaciones y dependencias que mantienen con el resto de procesos que se desarrollan dentro de la entidad.

De acuerdo con este artículo, el responsable del tratamiento deberá especificar en este registro las actividades de tratamiento llevadas a cabo junto con información relativa a:

  • El nombre y los datos de contacto del responsable y del delegado de protección de datos si existe obligación de nombramiento.
  • Las finalidades del tratamiento realizado
  • La descripción de las categorías de los interesados cuyos datos son tratados, así como de las categorías de datos.
  • Las categorías de destinatarios a los que se comunican los datos, incluidos los destinatarios de terceros países.
  • En su caso, las transferencias de datos a terceros países u organizaciones internacionales junto con la identificación de estos y el detalle de las garantías adecuadas.
  • Los plazos previstos de conservación de los datos o los criterios para determinarlos.
  • Una descripción general de las medidas técnicas y organizativas adoptadas para garantizar la seguridad y la privacidad de los datos personales tratados.

En el caso de que actúe como encargado del tratamiento, también deberá contar con un registro de actividades en el que se especificará:

  • El nombre y datos del encargado y de cada responsable por cuenta del cuál actúe el encargado, así como del delegado de protección de datos si existe obligación de nombramiento.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • En su caso, las transferencias de datos a terceros países u organizaciones internacionales junto con la identificación de estos y el detalle de las garantías adecuadas.
  • Una descripción general de las medidas técnicas y organizativas adoptadas para garantizar la seguridad y la privacidad de los datos personales tratados

No olvide revisar los textos automáticamente generados y realizar los cambios necesarios para que el registro de actividades de tratamiento responda con exactitud a los datos recogidos, las finalidades definidas, las comunicaciones realizadas, si está prevista o no la realización de transferencias internacionales de datos y demás circunstancias particulares de cada uno de los tratamientos realizados.

Además, debe desarrollar unas tablas similares a las mostradas en este apartado para los siguientes tratamientos descritos que hacen uso de las tecnologías innovadoras que ha seleccionado:

  • Clunnity app
  • clunnity.com

Para cada uno de ellos deberá incluir la información exigida por el artículo 30 del RGPD arriba especificada, siendo importante, en particular, que identifique la finalidad del tratamiento, el tipo de datos tratados, la categoría de los individuos de los que proceden dichos datos, las posibles comunicaciones o cesiones de datos que realice, así como el plazo de conservación de la información.

 

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE CLIENTES O USUARIOS

a)    Responsable del tratamiento

Identidad: Clunnity Sports S.L. – NIF: B06797096

Dirección postal: Calle Ribera 1, Valencia, 46002, España

Correo electrónico: gol@clunnity.com

Teléfono: 695496544

b)    Finalidad del tratamiento

Prestar un servicio

Facturar un servicio

Fidelizar a sus clientes/usuarios

c)    Categorías de interesadosClientes o usuarios: Personas que son clientes o hacen uso del servicio prestado por su empresa
d)    Categorías de datos

Los necesarios para el mantenimiento de la relación comercial.

Datos de identificación (nombre, apellidos, NIF, dirección postal, teléfono, email)

Características personales (estado civil, fecha y lugar de nacimiento, edad, género, nacionalidad)

Datos profesionales (cargo, lugar de trabajo, sector de actividad)

Datos de fitness subjetivos (Calidad de pase, velocidad, minutos jugados, …)

e)    Categorías de destinatarios

Administración Tributaria

Bancos y entidades financieras

Fuerzas y Cuerpos de Seguridad

f)     Transferencias internacionalesNo está previsto realizar transferencias internacionales
g)    Plazo de supresiónLos previstos por la legislación fiscal respecto a la prescripción de responsabilidades
h)    Medidas de seguridadLas reflejadas en el ANEXO MEDIDAS DE SEGURIDAD

Directrices de atención a las solicitudes de ejercicio de derechos

El responsable del tratamiento informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) y teniendo en cuenta lo siguiente:

  • Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y, cuando proceda, el derecho a no ser objeto de decisiones individuales automatizadas. El ejercicio de los derechos es gratuito.
  • El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y sencillo y conservar la prueba del cumplimiento del deber de responder a las solicitudes de ejercicio de derechos formuladas.
  • Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
  • Las solicitudes deben responderse en el plazo de 1 mes desde su recepción, pudiendo prorrogarse en otros dos meses teniendo en cuenta la complejidad o el número de solicitudes, pero en ese caso debe informarse al interesado de la prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
  • Si no se da curso a la solicitud del interesado, el responsable del tratamiento le informará, sin dilación y a más tardar transcurrido un mes desde la recepción de esta, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos y de ejercitar acciones judiciales.

En este sentido y como garantía de cumplimiento y ejercicio de responsabilidad proactiva, es recomendable que el responsable del tratamiento implemente mecanismos efectivos de registro y atención de las solicitudes recibidas en relación al ejercicio de derechos en materia de protección de datos de modo que esté en disposición de realizar una gestión eficiente de las dichas peticiones, garantizar la trazabilidad del tratamiento dado a estas y cumplir con los plazos de respuesta estipulados por la normativa.

DERECHO DE ACCESO: En el derecho de acceso se facilitará a los interesados copia de los datos personales de los que se disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación previstos o el criterio utilizado para determinarlo, la existencia del derecho a solicitar la rectificación o supresión de datos personales así como la limitación o la oposición a su tratamiento, el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos y si los datos no han sido obtenidos del interesado, cualquier información disponibles sobre su origen. El derecho a obtener copia de los datos no puede afectar negativamente a los derechos y libertades de otros interesados.

DERECHO DE RECTIFICACIÓN: En el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento. El interesado deberá indicar en la solicitud a qué datos se refiere y la corrección que haya de realizarse, aportando, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la rectificación de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

DERECHO DE SUPRESIÓN: En el derecho de supresión se eliminarán los datos de los interesados cuando estos manifiesten su negativa al tratamiento y no exista una base legal que lo impida, no sean necesarios en relación con los fines para los que fueron recogidos, retiren el consentimiento prestado y no haya otra base legal que legitime el tratamiento o éste sea ilícito. Si la supresión deriva del ejercicio del derecho de oposición del interesado al tratamiento de sus datos con fines de mercadotecnia, pueden conservarse los datos identificativos del interesado con el fin de impedir futuros tratamientos. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la supresión de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

DERECHO DE OPOSICIÓN: En el derecho de oposición, cuando los interesados manifiesten su negativa al tratamiento de sus datos personales ante el responsable, este dejará de procesarlos siempre que no exista una obligación legal que lo impida. Cuando el tratamiento esté basado en una misión de interés público o en el interés legítimo del responsable, ante una solicitud de ejercicio del derecho de oposición, el responsable dejará de tratar los datos salvo que se acrediten motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado o sean necesarios para la formulación, ejercicio o defensa de reclamaciones. Si el interesado se opone al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para estos fines.

DERECHO DE PORTABILIDAD: En el derecho de portabilidad, si el tratamiento se efectúa por medios automatizados y se basa en el consentimiento o se realiza en el marco de un contrato, los interesados pueden solicitar recibir copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica. Asimismo, tienen derecho a solicitar que sean transmitidos directamente a un nuevo responsable, cuya identidad deberá ser comunicada, cuando sea técnicamente posible.

DERECHO DE LIMITACIÓN AL TRATAMIENTO: En el derecho de limitación del tratamiento, los interesados pueden solicitar la suspensión del tratamiento de sus datos para impugnar su exactitud mientras el responsable realiza las verificaciones necesarias o en el caso de que el tratamiento se realice en base al interés legítimo del responsable o en cumplimiento de una misión de interés público, mientras se verifica si estos motivos prevalecen sobre los intereses, derechos y libertades del interesado. El interesado también puede solicitar la conservación de los datos si considera que el tratamiento es ilícito y, en lugar de la supresión, solicita la limitación del tratamiento, o si aun no necesitándolos ya el responsable para los fines para los que fueron recabados, el interesado los necesita para la formulación, ejercicio o defensa de reclamaciones. La circunstancia de que el tratamiento de los datos del interesado esté limitado deberá constar claramente en los sistemas del responsable. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la limitación del tratamiento de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS: Este derecho permite a los interesados solicitar no ser objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca sobre ellos efectos jurídicos o que le afecten significativamente de forma similar. Afecta a cualquier forma de tratamiento de datos personales que evalúe aspectos personales, en particular si analiza o predice aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, fiabilidad o el comportamiento. Este derecho no es aplicable cuando el tratamiento sea necesario para la celebración o ejecución de un contrato entre él y el responsable o si el tratamiento se fundamente en un consentimiento prestado previamente, aunque en estos casos el responsable debe garantizar el derecho del interesado a obtener la intervención humana, a que exprese su punto de vista y a que impugne la decisión. No obstante, estas excepciones no son de aplicación sobre las categorías especiales de datos, salvo que el interesado diera su consentimiento explícito al tratamiento o este sea necesario por razones de un interés público esencial recogido en una norma y con garantías específicas para proteger los intereses y derechos fundamentales de los interesados afectados.

 

 

Recomendaciones sobre videovigilancia

La imagen de una persona, en la medida que la identifique o la pueda identificar, constituye un dato de carácter personal que puede ser objeto de tratamiento para diversas finalidades. Si bien la más común consiste en utilizar las cámaras para garantizar la seguridad de personas, bienes e instalaciones, también pueden usarse con otros fines como el control de la prestación laboral de los trabajadores. A continuación, se incluyen las directrices básicas a respetar para que el tratamiento de las imágenes obtenidas a partir de cámaras de videovigilancia sea conforme a la normativa de protección de datos. No obstante, se recomienda la consulta de la Guía sobre el uso de videocámaras para seguridad y otras finalidades para un conocimiento más exhaustivo de las obligaciones que conlleva este tipo de tratamiento o acceder al apartado específico de videovigilancia de la web de la AEPD.

 

  • UBICACIÓN DE LAS CÁMARAS: Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores, así como la captación de la vía pública si se utilizan cámaras exteriores, estando únicamente permitido la captación de la extensión mínima imprescindible para preservar la seguridad de las personas, bienes e instalaciones.

 

  • UBICACIÓN DE MONITORES: Los monitores donde se visualicen las imágenes de las cámaras se ubicarán en un espacio de acceso restringido de forma que no sean accesibles a terceros. A las imágenes grabadas sólo accederá el personal autorizado.

 

  • CONSERVACIÓN DE IMÁGENES: Las imágenes se almacenarán durante el plazo máximo de un mes, con excepción de las imágenes que acrediten la comisión de actos que atenten contra la integridad de personas, bienes e instalaciones. En ese caso las imágenes deben ser puestas a disposición de la autoridad competente en un plazo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

 

  • DEBER DE INFORMACIÓN: Se informará acerca de la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo colocado en un lugar suficientemente visible donde se identifique, al menos, la identidad del responsable y la posibilidad de los interesados de ejercer sus derechos en materia de protección de datos. En el propio pictograma se podrá incluir también un código de conexión o dirección de internet en la que se muestre esta información. Dispone de modelos, tanto del pictograma como del texto, en la página web de la Agencia.
  • CONTROL LABORAL: Cuando las cámaras vayan a ser utilizadas con la finalidad de control laboral, según lo previsto en el artículo 20.3 del Estatuto de los Trabajadores, se informará al trabajador y a sus representantes sindicales, por cualquier medio que garantice la recepción de la información, acerca de las medidas de control establecidas por el empresario con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras.

 

  • DERECHO DE ACCESO A LAS IMÁGENES: Para dar cumplimiento al derecho de acceso de los interesados a las grabaciones del sistema de videovigilancia se solicitará una fotografía reciente y el Documento Nacional de Identidad del interesado para comprobar su identidad, así como el detalle de la fecha y hora a la que se refiere el derecho de acceso. No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros. En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se le facilitará un documento en el que se confirme o niegue la existencia de imágenes del interesado.

Para más información puede consultar las guía y las fichas de videovigilancia y los informes jurídicos publicados por la Agencia Española de Protección de Datos en la sección de Videovigilancia.

 

 

Indicaciones en materia de gestión de riesgos

FACILITA EMPRENDE persigue servir de apoyo a emprendedores y startups cuyos tratamientos se caracterizan por un fuerte componente innovador que hace uso de nuevas tecnologías. Como consecuencia de la naturaleza de este tipo de tratamientos puede ser que la empresa no se encuentre en un escenario de bajo riesgo y sea necesario que personalice y complemente la documentación generada con otros recursos y materiales ofrecidos por la Agencia y por las salidas de otro tipo de herramientas como GESTIONA – EIPD dirigida a la realización de análisis de riesgos y evaluaciones de impacto para la protección de datos.

A partir del análisis de los datos introducidos y como resultado de las categorías de datos, las finalidades de los tratamientos, los factores de riesgo de los tratamientos o las circunstancias de las personas cuyos datos trata o procesa, si su entidad es responsable del tratamiento, debe realizar una Evaluación de Impacto para la Protección de Datos para los siguientes tratamientos:

Nombre del tratamiento:

Clunnity app

Riesgos identificados:

Datos sobre preferencias o intereses personales

Hacer o analizar perfiles

Hacer publicidad y prospección comercial masiva a potenciales clientes

Desarrollo de aplicaciones web/móviles/juegos dirigidas a múltiples potenciales usuarios

¿Se recaban datos o información de personas en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), relativos a varios aspectos de su personalidad o sus hábitos?

¿Almacena o procesa datos o informaciones de menores de 14 años?

Nombre del tratamiento:

www.clunnity.com

Riesgos identificados:

Datos sobre preferencias o intereses personales

Hacer o analizar perfiles

Desarrollo de aplicaciones web/móviles/juegos dirigidas a múltiples potenciales usuarios

¿Se recaban datos o información de personas en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), relativos a varios aspectos de su personalidad o sus hábitos?

Puede utilizar GESTIONA – EIPD como herramienta de apoyo en el desarrollo de estos análisis.

Si su empresa está actuando como encargado del tratamiento y está prestando un servicio al responsable o desarrollando para él un producto, aplicación o servicio, deberá poner en conocimiento del responsable las circunstancias de riesgos a las que está expuesto el tratamiento a fin de que este pueda emprender las acciones necesarias y tomar las medidas adecuadas que garanticen los derechos y libertades de los interesados cuyos datos son tratados. Para más información puede consultar la guía para el responsable de tratamientos de datos personales donde encontrará información práctica relativa a las obligaciones del responsable que trata o procesa datos o informaciones personales, y las guías de la AEPD para realizar Evaluaciones de Impacto y análisis de riesgos en protección de datos.

La AEPD dispone de un área de actuación relacionada con la innovación y la tecnología, donde, tanto si es desarrollador de productos y servicios tecnológicos como si actúa en calidad de responsable, puede encontrar amplia información y orientaciones que la AEPD pone a su disposición como, por ejemplo, guía de protección de datos desde el diseño, guías y notas técnicas sobre seudonimización, un código de buenas prácticas en big data, el uso de hash como técnica de seudonimización, guía sobre el uso de cookies, estudio sobre fingerprinting, etc.

 

Estrategias de privacidad y medidas de seguridad

El artículo 5.1.f del Reglamento General de Protección de Datos (en adelante, RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, su destrucción o daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas apropiadas encaminadas a asegurar la integridad y confidencialidad y, en general, de acuerdo al artículo 32 del Reglamento, un nivel de seguridad adecuado al riesgo. Adicionalmente, también es obligación del responsable del tratamiento, según establece el artículo 25 de la norma, implementar las estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto desarrollado, ya sea una aplicación, sistema, producto o servicio, desde su concepción hasta su retirada, de modo que la protección de datos esté presente desde las primeras fases de desarrollo y forme parte integral de la naturaleza de dicho objeto.

ESTRATEGIAS DE PRIVACIDAD DESDE EL DISEÑO

Tradicionalmente, el diseño de sistemas seguros y confiables se ha centrado en analizar los riesgos y dar respuesta a las amenazas que afectan a los objetivos de la seguridad que están más orientados a la privacidad: confidencialidad, evitando los accesos no autorizados a los sistemas; integridad, protegiéndolos de modificaciones no autorizadas de la información y disponibilidad, garantizando que los datos y los sistemas están disponibles cuando es necesario.

Sin embargo, aunque el acceso y la modificación no autorizada de los datos personales puede llegar a ser un aspecto crítico que amenace la privacidad de los individuos, existen otros factores de riesgo que pueden aparecer durante un procesamiento autorizado de los datos y que deben ser identificados durante la evaluación de riesgos para los derechos y libertades de los sujetos de los datos asociada al tratamiento. Por ello, es preciso ampliar el marco de análisis tradicional para que este cubra tanto los riesgos derivados de su tratamiento no autorizado como aquellos que pueden surgir de un procesamiento planeado y permitido de la información quedando así determinados los requisitos que deberá satisfacer cualquier sistema, producto, aplicación y servicio y que han de servir como entrada a los procesos de diseño de la privacidad.

En la práctica, supone tener en consideración, desde las primeras etapas de concepción de los sistemas y a lo largo de todo su ciclo de vida, un conjunto de diferentes estrategias de privacidad que ayuden a incorporar salvaguardas y medidas de protección en las operaciones y procedimientos de tratamiento de los datos personales, consiguiendo que los resultados finales tengan en cuenta los requisitos de privacidad identificados a raíz de la gestión del riesgo y dirigidos a garantizar los derechos y libertades de las personas cuyos datos son objeto de tratamiento. En concreto, estas estrategias se resumen en lo siguiente:

  • Minimizar la cantidad de datos que son tratados, tanto en volumen de información recopilada como en el tamaño de la población objeto de estudio así como a lo largo de las diferentes etapas del tratamiento.
  • Agregar los datos personales en la medida de lo posible para reducir al máximo el nivel de detalle que es posible obtener.
  • Ocultar los datos personales y sus interrelaciones para limitar su exposición y que no sean visibles por partes no interesadas.
  • Separar los contextos de tratamiento para dificultar la correlación de fuentes de información independientes, así como la posibilidad de inferir información.
  • Informar a los interesados, en tiempo y forma, de las características y condiciones de su tratamiento para fomentar la trasparencia y permitir a los interesados tomar decisiones informadas sobre el tratamiento de sus datos.
  • Proporcionar medios a los interesados para que puedan controlar cómo sus datos son recogidos, tratados, usados y comunicados a terceras partes mediante la implementación de mecanismos que permitan el ejercicio de sus derechos en materia de protección de datos.
  • Cumplir con una política de privacidad compatible con las obligaciones y requisitos legales impuestos por la normativa.
  • Demostrar, en aplicación del principio de responsabilidad proactiva, el cumplimiento de la política de protección de datos que se esté aplicando, así como del resto de requisitos y obligaciones legales impuestos por el Reglamento, tanto a los interesados como a las Autoridades de Supervisión.

Estas estrategias se concretan en técnicas específicas como las que se muestran a continuación:

MINIMIZACIÓN

Eliminación temprana de los datos no necesarios.

Minimización de los datos recogidos y tratados en cada etapa del tratamiento.

Minimización de la frecuencia de recogida de los datos, por ejemplo, en lecturas de consumo, de geolocalización, etc.

Reducción de la precisión/granularidad de recogida de los datos, por ejemplo, información de ocurrencia de eventos, posición, etc.

Limitación de la accesibilidad de bases de datos a través de la red

Anonimización temprana

Seudonimización de los datos almacenados.

Seudonimización de los datos en alguno de los subprocesos del tratamiento

AGREGACIÓN

Generalización de datos personales

Agregación de registros

Reducción de la precisión/granularidad de recogida de los datos, por ejemplo, información de ocurrencia de eventos, posición, etc.

Aplicación de diferenciales de privacidad en la difusión/acceso a los resultados del tratamiento

OCULTACIÓN

Anonimización temprana

Seudonimización de los datos almacenados.

Seudonimización de los datos en alguno de los subprocesos del tratamiento

Introducción de medidas perturbativas en los datos de origen

Control de la privacidad de los metadatos en las comunicaciones electrónicas

Uso de credenciales basadas en atributos

Cifrado de la información almacenada o en tránsito

SEPARACIÓN

Compartimentación del acceso a los datos en el tiempo

Compartimentación del acceso a los datos entre tratamientos.

Particionamiento por atributos de las bases de datos

Bloqueo de los datos

Separación física de las fuentes de datos.

INFORMACIÓN

Transparencia de la extensión del tratamiento para el sujeto de los datos.

Transparencia sobre el momento en el que se está realizando una recogida de datos

CONTROL

Control del usuario de la recogida de sus datos personales

Control del usuario del tratamiento de sus datos

Cifrado de la información extremo-extremo

CUMPLIMIENTO

Fijar requisitos de privacidad en los productos/servicios adquiridos o encargados para su desarrollo.

Incorporar en el proceso de desarrollo de tratamientos que involucran datos personales los requisitos de privacidad en las primeras fases del ciclo de vida.

Implementar procedimientos para garantizar la autenticidad o calidad de datos

Implementación de medidas físicas para limitar la recogida de datos, como máscaras físicas de privacidad en cámaras, pestañas en webcams, etc.

Configuraciones de privacidad máximas por defecto

Especial atención a las circunstancias de sujetos en situación de especial riesgo o vulnerabilidad

Limitación de tratamientos automáticos de datos que impliquen decisiones automatizadas

DEMOSTRACIÓN DEL CUMPLIMIENTO

Documentación de todas las decisiones tomadas en relación al tratamiento.

Auditar el cumplimiento del RGPD en productos/servicios/componentes adquiridos o procesos llevados a cabo por terceros

Adherirse a códigos de conducta o mecanismos de certificación.

Medidas para garantizar la equidad en decisiones automatizadas

Tal y como establece el artículo 25 del RGPD, la obligación de implementar la protección de datos desde el diseño y por defecto es aplicable a todos los responsables del tratamiento con independencia de su tamaño, el tipo de datos tratados, la naturaleza del tratamiento o el tipo de tecnologías utilizadas, así como sea cual sea la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio. Es por ello que la protección de datos desde el diseño se proyecta sobre otros actores participantes en el tratamiento de datos personales como son los proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos en tanto que deben tener en cuenta el derecho a la protección de datos cuando desarrollen y diseñen estos productos, servicios y aplicaciones y así poder ofrecer garantías al responsable del tratamiento en el cumplimiento de esta obligación.

Puede obtener más información consultando la guía de privacidad desde el diseño publicada por la Agencia Española de Protección de Datos.

MEDIDAS DE SEGURIDAD

La adopción de medidas de seguridad, tanto de índole técnica como organizativa, que garanticen la confidencialidad, la integridad y la disponibilidad de la información son claves a la hora de garantizar el derecho fundamental a la protección de datos.

El artículo 32 del RGPD establece que estas medidas, que deben ser apropiadas para garantizar un nivel de seguridad adecuado al riesgo, se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. Es decir, no se establecen un catálogo de medidas de seguridad estáticas, sino que, en respuesta a un enfoque de gestión continua del riesgo, corresponde al responsable del tratamiento determinar aquellas medidas de control y seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Esta aproximación a la gestión del riesgo es común a todos los responsables con independencia del tamaño, las características o la disponibilidad de recursos de la organización, por lo que, de manera similar a las grandes organizaciones, también las pequeñas empresas, startups y emprendedores tienen que identificar el nivel de riesgo al que están sometidos sus tratamientos y adoptar las medidas necesarias para garantizar que los tratamientos se realizan en condiciones de seguridad y privacidad.

Es habitual que, en el caso de pequeñas y medianas empresas, parte de estos controles de seguridad y privacidad estén implementados como parte de los productos o appliance adquiridos o de los servicios prestados por fabricantes y prestadores de servicio tecnológicos. En todo caso, y en particular, en el supuesto de desarrollos cerrados llave en mano o de servicios prestados por cuenta de terceros que exijan el acceso a los datos personales tratados por el responsable, este velará porque el encargado implemente las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de dichos sistemas y servicios de acuerdo con nivel de riesgo detectado.

Aunque el global de los controles que se seleccionen, y que deberán ser formalmente definidos y aceptados como parte de un plan de acción que vendrá condicionado por el resultado de la evaluación de riesgos que realice, las medidas de seguridad mínimas que deberían tenerse en cuenta son las siguientes:

MEDIDAS ORGANIZATIVAS

Medidas de gestión de la seguridad de la información

  • Definición de una política de seguridad y los procedimientos de protección de los datos personales.

En esta política, se deben establecer los principios básicos para garantizar la seguridad y la protección de datos personales dentro de la organización. Basada en esta política, se desarrollarán procedimientos específicos, como la gestión de recursos o el control de accesos, en cuyo marco se implementen las medidas técnicas y organizativas necesarias.

  • Definición de una política de control de acceso.

Basándose en las funciones y responsabilidades de cada usuario con acceso a datos de carácter personal, debe establecerse una política de control de acceso a los sistemas en los que se realiza el tratamiento en base al principio de “need to know” de modo que cada rol o usuario únicamente tenga el acceso y los permisos estrictamente necesarios para el desarrollo de las tareas y funciones que desarrolla.

  • Gestión de recursos y gestión de los cambios.

La adecuada gestión de los medios del tratamiento, ya sean activos hardware, software o recursos de red, es una pieza clave para garantizar la seguridad de los datos personales, al igual que todo cambio producido en estos y que debe estar perfectamente sincronizado, controlado y supervisado para que, de modo accidental, no derive en una revelación, modificación o pérdida no autorizada de los datos personales tratados.

  • Relación con los encargados del tratamiento.

De acuerdo al artículo 28 del RGPD, cuando el tratamiento se realice por cuenta del responsable del tratamiento, este sólo elegirá a aquellos encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado, quedando regulada esta relación mediante un contrato o acto jurídico equivalente. Además, el encargado deberá actuar bajo las instrucciones del responsable e implementar las medidas de seguridad, técnicas y organizativas, necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento de los datos personales de acuerdo con nivel de riesgo detectado.

Medidas en materia de personal

  • Deber de confidencialidad del personal con acceso a datos personales.

El responsable del tratamiento debe adoptar las garantías necesarias para asegurar que el personal involucrado en el tratamiento de datos personales ha sido informado y conoce sus obligaciones con relación a los tratamientos de datos personales y en concreto el deber de confidencialidad y secreto que persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

  • Formación.

Para una efectiva implantación de las medidas técnicas y organizativas, el personal de la organización debe recibir formación periódica y actualizada en relación a los procedimientos de protección de datos personales y seguridad definidos y, en particular, los relativos a las restricciones en la comunicación y divulgación de datos personales, la  protección del acceso a estos por parte de terceros no autorizados mediante medidas de almacenamiento seguro, bloqueo de sesiones, cierre de despachos, etc. así como la destrucción segura de documentos y soportes.

Medidas de respuesta ante incidentes y continuidad de negocio

  • Gestión de incidentes y brechas de seguridad.

En el caso de que se produzca una brecha de seguridad, el responsable debe valorar si esta supone la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Todos los empleados deben poner en conocimiento del responsable del tratamiento aquellas brechas de seguridad que afecten a datos personales para que este pueda notificarla a la Agencia Española de Protección de Datos, y en su caso a los interesados, en los términos descritos en el apartado Directrices para la gestión de brechas de seguridad de este documento. Además, y de forma independiente a la notificación de brechas, el responsable deberá implementar los mecanismos necesarios de registro, documentación y gestión de incidentes.

  • Definición de un plan de continuidad de negocio.

La definición de un plan de continuidad de negocio es esencial para determinar los procedimientos y las medidas técnicas que una organización debe seguir en el caso de materialización de un incidente o una brecha de seguridad que afecte a los datos personales tratados para que, de acuerdo a lo establecido en el artículo 32 del RGPD, el responsable o el encargado del tratamiento sean capaces de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

 

MEDIDAS TÉCNICAS

  • Control de acceso y autenticación.

La autenticación y el control de acceso son las medidas técnicas básicas para proteger los sistemas de información que tratan datos personales del acceso no autorizado y la implementación práctica de la política de control de acceso definida en las medidas organizativas.  Para ello, se recomienda disponer usuarios distintos si un mismo sistema es accedido por varios empleados, separar los usos personales de los profesionales y configurar perfiles sin privilegios de administración para que, en caso de materialización de un incidente de ciberseguridad, el atacante no obtenga privilegios de acceso al sistema operativo. Además, es altamente recomendable definir una política de contraseñas para controlar su complejidad y cambio periódico y formar a los empleados en la importancia de garantizar su confidencialidad evitando su exposición o comunicación a terceros. Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad.

  • Monitorización y registro.

La activación y uso de logs (registros) en los sistemas de información permite la identificación y seguimiento de las acciones desarrolladas por los usuarios cuando acceden a los equipos en los que se realiza el tratamiento de datos personales. Esta funcionalidad permite identificar potenciales intentos, tanto internos como externos, de acceso no autorizado a los sistemas de información además de plantearse como una medida de responsabilidad proactiva en el caso de que se produzca un incidente de seguridad que derive en una pérdida, modificación o revelación no autorizada de datos personales.

  • Seguridad de los datos.

Gran parte de las medidas a adoptar para garantizar la seguridad de los datos y el deber de salvaguarda tienen que ver con el aseguramiento y bastionado de los sistemas, entornos y redes en los que se realiza el tratamiento de los datos personales. Para ello conviene asegurar la información mediante la seudonimización y el cifrado de los datos personales así como proteger los sistemas en los que estos se procesan mediante la actualización de sistemas operativos y aplicaciones, el despliegue de servicios perimetrales de seguridad, tales como  antivirus y cortafuegos, y la implementación de políticas de seguridad que eviten que los usuarios realicen determinadas acciones que puedan comprometer la seguridad del entorno de trabajo como, por ejemplo, la desactivación del software antivirus o la instalación de determinadas aplicaciones.

  • Seguridad de las comunicaciones.

Debe valorarse la necesidad de asegurar las comunicaciones, tanto hacia Internet como en la interconexión con otros sistemas internos o externos, mediante la instalación de cortafuegos, sistemas de detección de intrusión, segregación de redes y la utilización de mecanismos de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

  • Copias de seguridad.

Las copias de seguridad o backups son uno de los medios más efectivos, como parte del plan de continuidad de negocio, para recuperar la información en el caso de una pérdida o destrucción de los sistemas que realizan el tratamiento de los datos personales. En función de las características del tratamiento, deberá definirse y configurarse, entre otros parámetros, la frecuencia y el tipo de copia de seguridad y así poder dar respuesta a una de las obligaciones para responsables y encargados del tratamiento establecidas en el artículo 32 del RGPD en relación a “la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico”. Para garantizar que cumplen su objetivo, las copias de seguridad realizadas deberán almacenarse en lugar seguro, distinto de aquél en que esté ubicado el sistema con los ficheros originales objeto de salvaguarda y verificar que se realizan correctamente conforme a la programación definida.

  • Dispositivos portátiles.

Aunque el empleo de dispositivos y sistemas móviles permiten extender el nivel de servicio prestado por la organización, representan un riesgo adicional por la posibilidad de robo o pérdida accidental. En estos casos, deben adoptarse garantías adicionales, tanto a nivel organizativo (definición de las condiciones para su empleo y medidas de precaución a respetar) como técnicas (doble factor de autenticación, cifrado, códigos de bloqueo, …) para asegurar que los datos que contienen no se vean comprometidos.

  • Desarrollo seguro.

En el desarrollo de aplicaciones, productos y servicios, ya sea por el propio responsable o a través de un tercero que actúe por cuenta de este bajo un encargo de prestación de servicios, deben tenerse en cuenta tanto los requisitos de seguridad como de privacidad desde la primeras fases de análisis y diseño de las actividades de tratamiento, así como el establecimiento de configuraciones de privacidad que sean lo más estrictas posibles, de modo que se dé cumplimiento al artículo 25 del RGPD relativo a la protección de datos desde el diseño y por defecto. Puede encontrar más información sobre la aplicación práctica de esta medida en la guía de Privacidad desde el Diseño publicada por la Agencia Española de Protección de Datos.

  • Destrucción de la información.

El fin último en la destrucción o retirada de los dispositivos y soportes que contienen datos personales es un borrado irreversible de los datos de modo que estos no puedan ser recuperados. Los métodos utilizados dependerán del tipo de soporte, incluidas las copias en papel. En todo caso, el responsable del tratamiento debe asegurarse que los datos personales contenidos en un dispositivo han sido eliminados de forma permanente y de forma previa a la retirada del soporte. En todo caso, y a fin de dar cumplimiento al artículo 5.e del RGPD relativo al plazo de conservación, en la medida de lo posible deberían implementarse políticas automáticas de borrado de la información para asegurar que los datos no se conservan más allá del tiempo necesario en relación con el propósito por el que fueron recabados.

  • Medidas de seguridad físicas.

Las medidas de seguridad y control de acceso físico juegan un papel tan importante como las medidas de seguridad técnicas en tanto que proteger los sistemas de un acceso físico no autorizado mediante sistemas de identificación del personal, definición de áreas de acceso restringido, sistemas de detección de intrusos o la instalación de barreras perimetrales, son la base sobre la que se apoya una estrategia global de seguridad.

Puede encontrar más información sobre estas recomendaciones de seguridad y su implementación mediante controles de seguridad específicos en el capítulo 4 del documento “Directrices para PYMES sobre la seguridad en el tratamiento de datos personales” desarrollado por la Agencia de la Unión Europa para la Ciberseguridad (ENISA).

La existencia y correcto funcionamiento de las medidas de seguridad implantadas será revisado de forma periódica. Esta revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, por lo que es recomendable adoptar las medidas apropiadas para protegerse contra el mismo.

Si desea más información u orientaciones técnicas para garantizar la seguridad de los datos personales y la información que trata su empresa, el Instituto Nacional de Ciberseguridad (INCIBE) en su página web www.incibe.es, pone a su disposición herramientas con enfoque empresarial en su sección «Protege tu empresa»   donde, entre otros servicios, dispone de:

Además INCIBE, a través de la Oficina de Seguridad del Internauta, pone también a su disposición herramientas informáticas gratuitas e información adicional que pueden ser de utilidad para su empresa o su actividad profesional.

 

Directrices para la gestión de brechas de seguridad

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que puede ocasionar destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

El responsable del tratamiento debe estar preparado para esta posibilidad antes de que ocurra, habiendo debido determinar quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.

Una vez ha tenido lugar, el responsable del tratamiento debe poner en marcha el plan de actuación definido, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.

Además, el Reglamento establece en su artículo 33.5 que el responsable deberá documentar los incidentes relacionados con cualquier violación de seguridad de los datos personales incluyendo los hechos relacionados con este, sus efectos y las medidas correctivas que haya adoptado. Es importante documentar los incidentes o brechas de seguridad que afecten o puedan afectar a la disponibilidad, integridad y confidencialidad de los datos personales pues la Autoridad de Control está facultada a verificar el cumplimiento de esta obligación de documentación de las brechas de seguridad sufridas. Por tanto, cualquier información recabada en este sentido será muy útil a la hora de decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la Autoridad de Control y en su caso a los afectados.

La información mínima que debe tener en cuenta es la siguiente:

  • Identidad del responsable del tratamiento
  • Identidad del encargado del tratamiento cuando proceda
  • Identidad de las organizaciones implicadas en la brecha
  • Fecha y hora en la que se produce la brecha
  • Fecha y hora en la que se tiene conocimiento de la brecha
  • Forma en la que se ha tenido conocimiento de la brecha
  • Resumen del incidente:
  • Origen del incidente (interno, externo, etc.)
  • Tipo de incidente (confidencialidad, integridad, disponibilidad)
  • Categorías de datos afectados
  • Datos o informaciones especiales (ej. creencias religiosas, afiliación sindical, vida sexual, origen racial, opinión política, salud, genéticos, biométricos, desconocidos, etc.)
  • Volumen de datos afectados, tanto en número de registros como de personas afectadas.
  • Categorías de personas afectadas (clientes, usuarios, empleados, suscriptores, estudiantes, pacientes, estudiantes, menores, personas en riesgo de exclusión, etc.)
  • Medidas paliativas y preventivas
  • Comunicación a la Autoridad de Control (AEPD)
  • Comunicación a los interesados

En este apartado se facilita un modelo de registro de incidentes para su documentación y archivo a los efectos arriba indicados.

Ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad. Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del formulario habilitado en la Sede electrónica. Para rellenar el formulario de comunicación será muy útil tener de antemano clara la información relevante para la brecha que se ha destacado anteriormente, de ahí la importancia de su documentación.

Si el incidente en cuestión entraña un alto riesgo para los derechos y libertades de los sujetos cuyos datos se han visto expuestos, deberá además comunicarlo, sin dilación indebida, a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.

Si está actuando como encargado del tratamiento y sufre un incidente de seguridad con afectación a los datos personales, debe informar al responsable del tratamiento sin dilación para que este pueda valorar si notificar ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contrato mediante el cual se establece el encargo del tratamiento.

Para más información puede consultar la guía para la gestión y notificación de brechas de seguridad publicada por la Agencia Española de Protección de Datos

 

Modelo de hoja registro de incidentes

Aquí puedes descargar y rellenar el modelo de hoja para registrar incidentes. Pincha encima para descargar el documento.

Indicaciones y directrices con relación a las actividades que desarrolla

A continuación, se muestran indicaciones y recursos que pueden ser de utilidad en el contexto de las actividades que desarrolla a fin de abordar las obligaciones asociadas a sus actividades de acuerdo con las previsiones de protección de datos del RGPD y la LOPDGDD.

Lo primero que deberá considerar, a fin de proteger el derecho de terceros a la protección de sus datos en cualquiera de las actividades que realice, es el principio de protección de datos desde el diseño que, como requisito legal, se traduce en la obligación de integrar todas las garantías necesarias para la protección de los derechos y libertades de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas, productos y servicios. Para ello, además de las estrategias y medidas enumeradas en el apartado anterior, la AEPD pone a su disposición la “Guía de Privacidad desde el Diseño” a fin de ayudarle a considerar la estrategia de protección de datos desde el diseño más adecuada para cada uno de los sistemas, productos o servicios que precise elaborar en el marco de sus actividades y utilice los principios de privacidad desde el diseño y seguridad desde el diseño para aumentar la calidad de los productos y servicios que desarrolle.

Siempre que los desarrollos o los servicios en los que base su negocio recopilen datos de personas deberá de aplicar el principio de minimización de datos por el que únicamente estará en condiciones de solicitar al cliente o usuario final la información mínima y necesaria para la prestación de dichos servicios. Puede consultar la web de la AEPD para encontrar más información sobre las obligaciones a las que se encuentra sujeto un responsable de un tratamiento de datos personales.

Ya sea usted responsable (determina la finalidad la para la que se utilizan los datos o informaciones de las personas, así como los medios con los que se lleva a cabo el tratamiento) o encargado del tratamiento (accede o trata los datos o informaciones personales siguiendo instrucciones del responsable) deberá de tener en cuenta las medidas de cumplimiento que le son aplicables y que se mencionan a continuación.

Existen supuestos de tratamiento, regulados por el RGPD y la LOPDGDD, en los que la designación de un Delegado de Protección de Datos encargado de supervisar el cumplimiento de la normativa en materia de protección de datos y de informar y asesorar al responsable o, en su caso, al encargado del tratamiento, es obligatoria. No obstante, si su entidad actúa como desarrollador de productos, sistemas o servicios o bajo el rol de encargado de tratamiento y no necesita contar con esta figura en su organización, es recomendable que tenga en cuenta la necesidad de consultar y obtener asesoramiento por parte del Delegado de Protección de Datos del que pudiera disponer el propio responsable del tratamiento para garantizar que el servicio que le está prestando es conforme con la normativa. Para obtener más información sobre la figura del Delegado de Protección de Datos puede consultar este enlace.

Si, en su caso, desarrolla productos, sistemas o servicios que puedan ser utilizados para el tratamiento de datos personales por parte de un posible responsable o encargado, tenga en cuenta que las recomendaciones y exigencias legales que se señalan a continuación darán un valor añadido a sus desarrollos y, además, será un factor clave para obtener la confianza de los usuarios finales cuyos datos o informaciones personales van a ser procesados.

Valore la posibilidad de disponer de una política de seguridad que establezca fundamentos claves para llevar a cabo sus actividades o sus desarrollos. Incluya en dicha política un procedimiento para la gestión y notificación de brechas de seguridad, procedimiento que deberá de contemplar la posibilidad de que haya que notificar a los propios afectados de esa eventual brecha de seguridad a fin de que puedan tomar las medidas oportunas para protegerse en la medida que ellos consideren necesarias.

Disponga también de una política de protección de datos y privacidad para los productos y servicios que desarrolle. Será un valor añadido para el cliente destinatario de sus desarrollos que contribuirá a la obtención de la confianza de los usuarios o clientes finales.

Tenga en cuenta el conjunto de normativas generales y sectoriales que le pudieran ser de aplicación en el desarrollo de sus productos y servicios, en particular el RGPD, la LOPDGDD, la LSSI o la LPI.

En los desarrollos que lleve a cabo o de los que sea usuario como responsable de un tratamiento de datos, incluya mecanismos para el ejercicio de los derechos de los interesados. Tenga en cuenta que, como responsable, deberá de atender los derechos de aquellas personas cuyos datos son tratados y, además, deberá de demostrar que esta actividad se lleva a cabo. Se recomienda que los medios para poder realizar esta actividad estén incorporados en la plataforma que se desarrolle en cada caso como un valor añadido a los servicios o productos que integre y como mecanismo para garantizar la confianza de los usuarios o clientes finales.

Cuando sus productos o servicios utilicen recursos en la nube, tenga en cuenta que podría estar realizando una transferencia internacional de datos las cuales están sujetas al cumplimiento de las garantías que determina el RGPD.

Otro de los factores que debe tener en consideración en el diseño de los productos y servicios que utilice o que desarrolle son los principios de limitación del tratamiento y minimización de datos, muy ligados al de ciclo de vida del dato, y que vienen a determinar que sólo serán tratados los datos necesarios en cada etapa del tratamiento y que no deberán de conservarse de manera indefinida, lo que está alineado con el concepto de supresión de datos que incorpora el RGPD. Tenga en cuenta que la conservación de los datos implica siempre la existencia de riesgos para los derechos y libertades de las personas. Sobre la interpretación de este concepto y su relación con dichos riesgos puede consultar la “Guía práctica de análisis de riesgos para el tratamiento de datos personales” y la “Guía práctica para las evaluaciones de impacto en protección de datos personales”.

La AEPD viene publicando habitualmente contenido técnico que podría ser de utilidad para los productos que desarrolla y que, al mismo tiempo, también podrían serle de utilidad si, en calidad de responsable, precisa llevar a cabo un tratamiento de datos personales mediante productos y servicios que precisen un desarrollo tecnológico con el objetivo de que incorpore a estos, desde las primeras etapas de análisis y diseño, los requisitos que establece el RGPD y la LOPDGDD a fin de evitar riesgos para los derechos y libertades de las personas cuyos datos van a ser tratados con dichos desarrollos. Esta información está disponible en el área de innovación y tecnología de la AEPD, donde podrá encontrar guías, informes, estudios, notas técnicas, herramientas y enlaces de interés que le serán de ayuda para abordar los principios de protección de datos que deben cumplir dichos desarrollos.

Tenga en cuenta que, con independencia de las orientaciones mencionadas en materia de gestión de riesgos, las recomendaciones y directrices que se incluyen a continuación pueden ser de utilidad a la hora de mitigar los posibles riesgos que, para los derechos y libertades de las personas, pudieran tener las actividades que ha indicado que desarrolla:

DESARROLLO DE SOLUCIONES SaaS (Software as a Service)

En el uso de un servicio de software basado en plataformas de cloud pueden intervenir tres agentes: el titular de la plataforma, el desarrollador del servicio y el cliente final que llevará a cabo sus actividades de negocio en calidad de responsable de un tratamiento de datos personales. Tanto el desarrollador como el titular de la plataforma cloud deben de tener en cuenta los principios de protección de datos entre los que se incluye el principio de seguridad.

Desde el punto de vista de protección de datos, los roles y funciones de los intervinientes deben de quedar reflejados en una relación contractual que les vincule y donde se determinen las obligaciones de cada uno de ellos en calidad de responsable, encargados o corresponsables de un tratamiento de datos personales. Para ayudarle en esta tarea, la AEPD pone a su disposición la guía de “Directrices para la elaboración de contratos entre responsables y encargados del tratamiento” que le orientará a la hora de determinar las cláusulas contractuales que deberán de existir con relación a los roles que desempeñe cada uno de los intervinientes en la prestación de servicios SaaS.

Desde el desarrollo inicial de un servicio debe de tener en cuenta el principio de protección de datos desde el diseño. Como ya se ha indicado, la AEPD pone a su disposición la “Guía de Privacidad desde el Diseño” para orientarle a determinar sus objetivos con relación a este principio normativo y, por tanto, de obligado cumplimiento que establece el RGPD.

También deberá de tener en cuenta el principio de seguridad para garantizar la integridad, confidencialidad y disponibilidad de los datos personales que pudieran ser tratados en el marco de prestación de su servicio. En particular, deberá de tener en cuenta que, si el destinatario de su servicio fuera una Administración Pública, su desarrollo deberá de garantizar las medidas de seguridad que exige el Esquema Nacional de Seguridad. En este sentido, corresponderá al propio responsable del tratamiento que pudiera llevarse a cabo con dicho software la selección de dichas medidas en base al riesgo al que esté sometida su información y su actividad de tratamiento de datos personales. Cuando el destinatario de su servicio de software pudiera ser una entidad privada sería de interés basar la seguridad de la información en un estándar de seguridad de la información que sea ampliamente reconocido en el mercado de los sistemas de gestión de la seguridad de la información como por ejemplo la ISO 27001. En todo caso, si es usted el responsable de un tratamiento de datos personales y precisa un servicio SaaS, tenga en cuenta que siempre corresponde al responsable del tratamiento exigir a su proveedor de cloud las medidas de seguridad que considere necesarias para garantizar la protección de su información y la protección de los datos personales que trata. En este sentido, pueden resultarle de utilidad para determinar los requisitos de seguridad que deben incorporar sus servicios las orientaciones proporcionadas por INCIBE.

Tanto el RGPD como los sistemas de gestión de la seguridad de la información (SGSI) tienen un enfoque basado en el análisis del riesgo Para disponer de una aproximación a los riesgos y amenazas de los sistemas cloud INCIBE pone a su disposición la guía de “Riesgos y amenazas en cloud computing” y la AEPD ha publicado un documento sobre “Orientaciones para prestadores de servicios de Cloud Computing” que también le será de ayuda a la hora de abordar los posibles riesgos y requisitos de cumplimiento en materia de protección de datos.

Si el software que tiene intención de desarrollar está destinado a alojarse en una plataforma cloud, debe de tener en cuenta que puede encontrarse ante una transferencia internacional y que deberá de garantizar en todo momento el derecho a la protección de datos de las personas cuyos datos vayan a tratarse. El RGPD determina la obligación de que cuando los datos vayan a ser objeto de una transferencia internacional el lugar de destino de los datos deberá de garantizar un nivel de protección equivalente al exigido en la Unión Europea. Puede consultar en la web de la AEPD los países que disponen del nivel de adecuación necesario. A falta de decisión de adecuación, en esta página podrá consultar qué otras garantías resultan válidas.

Como desarrollador, tenga en cuenta en el diseño de sus servicios la necesidad del responsable de abordar y poder cumplir sus obligaciones, con relación a los tratamientos que va a realizar, con el software que va a desarrollar. En particular, las relacionadas con el deber de informar a los potenciales usuarios finales del software acerca del tratamiento de sus datos y el deber de transparencia. Con esta finalidad la AEPD pone a su disposición la “Guía para el cumplimiento del deber de informar”. Otra de las obligaciones a las que un responsable deberá hacer frente es la de atender los derechos de las personas cuyos datos van a ser tratados con el software que se pretende desarrollar. En este sentido, valore la posibilidad de que el desarrollo integre los mecanismos que va a precisar el responsable para atender sus obligaciones con relación a la atención de los derechos de las personas cuyos datos van a tratarse.

Para más información puede consultar la guía antes indicada sobre “Orientaciones para prestadores de servicios de cloud computing” y la “Guía para clientes que contraten servicios de cloud computing” si va a llevar a cabo la contratación de un servicio de cloud en el que alojará las aplicaciones que desarrolla o si va a llevar a cabo un tratamiento de datos personales mediante servicios cloud proporcionados por terceros.

 

DESARROLLO DE APLICACIONES WEB/MÓVILES

El desarrollo de aplicaciones móviles y el desarrollo de aplicaciones web tratan y comparten información del usuario con finalidades que, en ocasiones, son difíciles de asumir o entender por el usuario final. Tenga en cuenta que el RGPD obliga a responsables y encargados del tratamiento al principio de transparencia e información y en base al cual los usuarios finales de dichos desarrollos deben poder conocer las características de los tratamientos que se estén llevando a cabo con sus datos. Con esta finalidad y para ayudarle a abordar estos principios la AEPD ha desarrollado la “Guía para el cumplimiento del deber de informar”. Tenga en cuenta la necesidad de añadir, tanto en sus aplicaciones web como en sus aplicaciones para dispositivos móviles, la información necesaria para el usuario final de sus desarrollos con el objetivo ya indicado. En relación a la redacción de políticas de privacidad, la AEPD pone a su disposición el “Decálogo para la adaptación al RGPD de las políticas de privacidad en internet” y el “Informe sobre políticas de privacidad en internet”, donde encontrará información útil para el desarrollo de sus políticas de protección de datos y privacidad, o una nota técnica sobre “El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles”.

Si lo desea, puede obtener más información sobre los principios generales del RGPD, en la página web de la AEPD o en la “Guía para el responsable de tratamientos de datos personales” de la AEPD.

Otro de los retos que se plantea para responsables y encargados del tratamiento desde la perspectiva de cumplir con la normativa de protección de datos, es la necesidad de abordar la obtención y gestión del consentimiento en el que también se debe tener en cuenta la necesidad de satisfacer el principio de transparencia antes mencionado. Sobre el consentimiento, con relación a los términos que establece el RGPD, puede obtener más información en las Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679.

Si en los desarrollos que lleve a cabo se realiza el seguimiento de usuarios, con independencia de la tecnología utilizada, la AEPD pone a su disposición el “Estudio de fingerprinting o huella digital de los dispositivos” y la “Guía sobre el uso de cookies” que le pueden ayudarle a adecuar los desarrollos que utilice en sus tratamientos de datos en calidad de responsable o encargado, así como aquellas actividades en las que como desarrollador de estos productos, procesos y servicios pueda verse implicado, en particular, cuando se vaya a realizar el seguimiento del usuario.

Otro de los aspectos clave en el uso de estos desarrollos tecnológicos con relación a la protección de datos personales y la salvaguarda de su integridad, confidencialidad y disponibilidad, es el factor de la seguridad de la información. La seguridad de la información es otro de los principios generales de protección de datos señalados como requisito de cumplimiento por el RGPD y la LOPDGDD. Para abordar la seguridad de estos desarrollos tecnológicos puede consultar el estudio sobre privacidad y protección de datos en aplicaciones para dispositivos móviles de Agencia de Ciberseguridad de la Unión Europea (ENISA) y si lo desea puede utilizar su herramienta interactiva orientada a la seguridad del desarrollo de aplicaciones para dispositivos móviles.

Tenga en cuenta que otro de los elementos clave en la seguridad de su desarrollo es la protección de sus webs. En este contexto, ENISA pone a su disposición un espacio web orientado a la protección de estas infraestructuras clave para el desarrollo de la economía digital y los desarrollos de aplicaciones ya mencionados. En la misma línea, el Instituto Nacional de Ciberseguridad (INCIBE) pone también contenidos y recursos que pueden ser de utilidad, por ejemplo, para abordar la protección su web, prevenir ataques, proteger la información de su empresa o herramientas de ayuda a la ciberseguridad.

La AEPD, en su área de innovación y tecnología publica materiales y recursos que podrían ser de su interés, como por ejemplo, notas técnicas sobre el “Acceso de aplicaciones a la pantalla en dispositivos Android”, “Control del usuario en la personalización de anuncios en Android” o un documento sobre orientaciones para el “Análisis de los flujos de información en Android”.

 

Recomendaciones de Prevención del Acoso Digital

Para contribuir a frenar y erradicar todo tipo de violencia digital que haga uso de los datos y ponga en peligro la dignidad, libertad y privacidad de las personas la AEPD ha elaborado un conjunto de recomendaciones específicas orientadas a erradicar el acoso laboral y el acoso por razón de género cuando este tipo de conductas se produzcan en el ámbito digital y se materialicen a través del uso y tratamiento de datos personales, instando a las empresas a que las incorpore como una dimensión más en los planes de adecuación y cumplimiento a la normativa de protección de datos.

Estas recomendaciones parten de una declaración de compromiso, por parte del responsable, de prevenir y erradicar el acoso digital, de modo que la empresa impulse una cultura de respeto a la intimidad de las personas y de concienciación en el empleo de los datos personales en el contexto de las TIC.

Una vez definida la postura de la empresa ante este tipo de conductas resulta fundamental la adopción de medidas concretas orientadas a la prevención del ciberacoso que eviten el tratamiento ilícito de los datos de los empleados por parte de otros empleados con un claro objetivo de causar daño. En este sentido son clave la información con relación a qué tipo de conductas son inadecuadas en el empleo de las nuevas tecnologías y la formación a los empleados para que tomen conciencia de los riesgos que un tratamiento ilícito de datos personales puede entrañar para la intimidad y privacidad de las personas y conozcan las consecuencias, penales y administrativas en su caso, en que pueden incurrir.

Por último, además de la prevención, es importante implementar medidas orientadas a la erradicación del acoso digital a través de un firme compromiso por parte de la empresa que ha de ir presidido por el deber de colaboración con las autoridades competentes, la puesta en marcha de mecanismos de actuación previstos en las políticas de prevención del acoso y el desarrollo de cauces especiales para los supuestos en que el acoso se materialice a través de tratamientos ilícitos de datos personales.

Puede ampliar esta información consultando las recomendaciones publicadas por la Agencia Española de Protección de Datos en relación al uso de la protección de datos como garantía en las políticas de prevención del acoso y, a modo de ejemplo, los protocolos de actuación frente al acoso laboral y de actuación frente al acoso sexual y por razón de sexo en la AEPD. En esta línea, la AEPD ha puesto dispone de un canal prioritario para la retirada de contenidos especialmente sensibles que sean objeto de difusión ilegítima en medios electrónicos, puede acceder a este canal a través de la sede electrónica de la AEPD.

Ir arriba
Hola, ¿En qué podemos ayudarte?