tomás fernández piñeiro · 2018-10-16 · bodegas arrayan, s.l. 2018 tomás fernández piñeiro...

BODEGAS ARRAYAN, S.L.

2018

Tomás Fernández Piñeiro

Documentación para el

cumplimiento del R.G.P.D.

Documentación para el cumplimiento del Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas

físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.

Documentación R.G.P.D. Página 1

Contenido

1. Objetivo. _____________________________________________________________________ 5

2. Ámbito de aplicación. ___________________________________________________________ 5

3. Recursos protegidos. ___________________________________________________________ 5

4. Principios del RGPD. ____________________________________________________________ 6

Aplicación territorial. _________________________________________________________ 6

Estructura de los datos personales. ______________________________________________ 6

Categorías de datos. _________________________________________________________ 6

Categorías de tratamiento. ____________________________________________________ 7

Principios del tratamiento de datos. _____________________________________________ 7

Protocolos de responsabilidad proactiva. _________________________________________ 8

5. Registro de actividades de tratamiento._____________________________________________ 8

5.1. Tratamiento: Clientes _________________________________________________ 8

5.2. Tratamiento: Empleados ______________________________________________ 9

5.3. Tratamiento: Solicitantes de empleo. ___________________________________ 10

5.4. Tratamiento: Agendas electrónicas. _____________________________________ 11

6. Identificación de la base jurídica de los tratamientos. _________________________________ 12

7. Deber de informar. ____________________________________________________________ 14

8. Consentimiento. ______________________________________________________________ 17

9. Ejercicio de derechos de los interesados. ___________________________________________ 19

10. Estudio de la necesidad de D.P.D. ________________________________________________ 23

11. Estudio de la necesidad de E.I.P.D. ________________________________________________ 27

11.1. Informe del análisis de la necesidad de hacer la Evaluación de Impacto. ________ 29

12. Autorización previa o consultas previas con APD. ____________________________________ 38

13. Identificación de medidas de seguridad. ___________________________________________ 39

13.1. Privacidad desde el diseño y por defecto. ________________________________ 39

MEDIDAS ORGANIZATIVAS ___________________________________________________ 40

MEDIDAS TÉCNICAS _________________________________________________________ 48

14. Verificación de las relaciones con los encargados de tratamiento. _______________________ 59

15. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y

organizativas para garantizar la seguridad del tratamiento. ________________________________ 60

16. Notificación de quiebras de seguridad. ____________________________________________ 61

17. Códigos de conducta y esquemas de certificación. ___________________________________ 63

ANEXO A.1. Formulario aviso a trabajadores. ___________________________________________ 64

ANEXO A.2. Firma correos electrónicos ________________________________________________ 66

ANEXO A.3. Formulario de Currículum Vitae. ___________________________________________ 67

ANEXO A.4. Recepción de Currículum Vitae. ____________________________________________ 68

ANEXO A.5. Recepción de Currículum Vitae por e-mail. ___________________________________ 69

ANEXO A.6. Consentimiento tratamiento de datos de clientes. _____________________________ 70

ANEXO A.7. Zona Videovigilada. ______________________________________________________ 71

ANEXO A.10. Consentimiento tratamiento de imagen de trabajador. ________________________ 72

ANEXO A.11. E-mail solicitud consentimiento a clientes antiguos. ___________________________ 73

ANEXO A.13. E-mail comunicando interés legítimo a clientes antiguos. _______________________ 74

ANEXO B.1. Política de Seguridad Informática. __________________________________________ 76

ANEXO B.2. Pacto de confidencialidad para empleados. ___________________________________ 77

ANEXO B.3. Normas internas para los usuarios del sistema de información de la empresa. _______ 79


ANEXO B.4. Impreso de notificación de incidencias _______________________________________ 83

ANEXO C.1. Contrato de prestación de servicios actuando como encargado del tratamiento de datos de

carácter personal. _________________________________________________________________ 84

ANEXO C.2. Formulario cumplimiento para encargado del tratamiento de datos de carácter personal.91

ANEXO D.1. WEB. Política de privacidad. _______________________________________________ 93

ANEXO D.2. WEB. Política de Cookies. _________________________________________________ 97

ANEXO D.4. WEB. Condiciones de uso / Aviso Legal. _____________________________________ 101

ANEXO E.1. Listado de usuarios con acceso al tratamiento de datos. ________________________ 105

ANEXO F.1. Formulario de autorización de salida de soportes. _____________________________ 106

ANEXO F.2. Formulario de ejercicio del derecho de acceso (1). _____________________________ 107

ANEXO F.3. Formulario de ejercicio del derecho de rectificación (1). _________________________ 108

ANEXO F.4. Formulario de ejercicio del derecho de oposición (1). ___________________________ 109

ANEXO F.5. Formulario de ejercicio del derecho de supresión (1). ___________________________ 110

Propiedad intelectual. ____________________________________________________________ 111

Bibliografía: _____________________________________________________________________ 111


Fecha de última modificación: 15 de junio de 2018.

Histórico de Modificaciones

Fecha Autor Versión Modificación

15/06/2018 Tomás Fdez. 1.0 Diseño inicial

30/06/2018 Tomás Fdez. 1.1 Actualización formularios A.13, D.1

Correcciones – Revisiones

Nombre Puesto

Lista de Distribución

Nº Copia Nombre Puesto

1 Tomás Fdez. Consultor Senior

2 Maria Esperanza Marsans Astoreca Administradora Única

3 Irene Pilar Sevillano Queipo de Llano Responsable administración

4

5

6

7

8

9

10

Aprobaciones

Fecha Autor Puesto Firma

30/06/2018 Tomás Fdez. Consultor senior


Introducción.

El presente informe debe documentar sobre:

Adecuación de las medidas y controles establecidos a lo dispuesto en el Reglamento.

Identificación de deficiencias y propuesta de medidas correctoras o complementarias.

Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del tratamiento para que adopte las medidas adecuadas.

Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Este informe pretende ser un documento dinámico, y como tal, un documento capaz de crecer y susceptible de continuos cambios y mejoras, que necesariamente se habrán de producir, acorde a las nuevas tecnologías, periféricos y requerimientos de explotación que marque la gerencia de la empresa. Por ello el índice se presenta de forma codificada y por grupos, que en todos los casos admiten nuevas incorporaciones. Así, este documento permite las posteriores revisiones y actualizaciones.

Ámbito y destinatarios.

Los destinatarios de este informe son los responsables de BODEGAS ARRAYAN, S.L., encargados de

realizar las medidas necesarias para adaptarla, como responsable del tratamiento con datos de carácter personal, a la normativa vigente respecto a la Protección de Datos de Carácter Personal (Reglamento

Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de datos).

Actualización y Revisiones.

La compilación y mantenimiento de este Informe, incluyendo la revisión y aprobación de las publicaciones, es responsabilidad del consultor de la cuenta y Jefe del proyecto de ALVIRE CONSULTING. Los responsables de la Gerencia de BODEGAS ARRAYAN, S.L., son los responsables de la aplicación de las medidas aquí recomendadas.

Las actualizaciones y revisiones del Informe se efectuarán por medio de:

Circulares, que se enviarán mediante correo electrónico a los usuarios de este documento.

Sustituciones, que serán remitidas por los responsable de ALVIRE CONSULTING, con firma original, para proceder a la sustitución de los índices revisados o actualizados, devolviendo al responsable de seguridad, los índices sustituidos para su posterior destrucción.

Nuevos contenidos, que serán archivados en el Informe, de acuerdo con el correspondiente número

de página, que figura en la parte inferior derecha de las hojas.


1. Objetivo.

El objetivo del presente documento, es detallar la información necesaria para el cumplimiento del

Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, con el fin de controlar que los datos de carácter personal tratados por el responsable de los tratamientos en los que son incluidos, sean utilizados con fines lícitos, de forma transparente y consentida, y que no se vulneren los derechos y libertades fundamentales de los interesados.

2. Ámbito de aplicación.

Este documento ha sido elaborado bajo la responsabilidad de BODEGAS ARRAYAN, S.L., quien, como responsable del tratamiento, se compromete a implantar y actualizar ésta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten al acceso a los mismos.

Todas las personas, ya sean empleadas o externas subcontratadas que tengan cualquier acceso al tratamiento, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Tratamiento, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.

3. Recursos protegidos.

El RGPD define los datos de carácter personal, como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificables. En base a esta definición el reglamento establece que un fichero que contenga datos de carácter personal, será todo conjunto organizado de datos de carácter personal, cualquiera fuere la forma o modalidad de su creación, almacenamiento, organización y su acceso.

Sistemas de tratamiento. La vigente normativa describe como sistema de tratamiento al modo en

que se organiza o utiliza un sistema de información, haciendo referencia a tres modalidades:

Sistemas de tratamiento automatizados: Son todo conjunto organizado de datos de carácter personal que permita acceder a la información relativa a una persona física determinada utilizando procedimientos de búsqueda automatizados. Dentro de este concepto están incluidos los tratamientos de datos personales que almacenan información en soportes informáticos (bases de datos, archivos, carpetas, etc.) y se encuentran organizados de manera tal que se pueda acceder a los datos personales utilizando cualquier tipo de aplicación o procedimiento informatizado.

Sistemas de tratamiento manuales (no automatizados): Todo conjunto de datos de carácter personal, organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales. El tratamiento manual, puede ser centralizado, descentralizado, o repartido en forma funcional o geográfica.

Sistemas de tratamiento mixtos: son aquellos en que los datos están tratados fundamentalmente de forma automatizada, pero en alguna de las fases del ciclo de vida de la información se producen entradas o salidas de datos en formato no digital.

Un Sistema de Información es un elemento de gestión compuesto por los Recursos Informáticos,

considerados como el continente o soporte informático, y los Activos de Información, considerados como el contenido.


La Seguridad Informática permite compartir los Sistemas de Información de la empresa entre sus empleados, e incluso con terceros, pero garantizando su protección.

Para ello, el responsable del tratamiento determina su Política de Seguridad Informática en el Anexo B.1.

Los recursos que, por servir de medio directo o indirecto para acceder a los tratamientos de datos de carácter personal, deberán estar controlados por lo dispuesto en el presente documento y la normativa vigente en materia de protección de datos, son:

Los centros de tratamiento y locales donde se encuentren ubicados los ficheros y se almacenen los soportes que los contengan.

Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al fichero.

Los servidores, si los hubiese, el entorno de sistema operativo y de comunicaciones en que se encuentra ubicado el fichero.

Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos.

4. Principios del RGPD.

Aplicación territorial.

El GDPR se aplica a las operaciones realizadas sobre datos personales de ciudadanos residentes en la UE (interesados) efectuadas por un Responsable (RT) o un Encargado (ET) del tratamiento:

Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.

No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:

o La oferta de bienes o servicios a personas residentes en la UE, se pague o no por ello.

o El control de la conducta de personas, si tiene lugar en la UE.

No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.

Estructura de los datos personales.

Datos personales: Información relativa a una persona física, identificada o identificable, por la cual pueda determinarse, directa o indirectamente, su identidad.

Interesado: Persona física sometida al tratamiento de sus datos personales.

Tratamiento: Operaciones realizadas sobre datos personales:

o Recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Fichero: Conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.

Categorías de datos.

Básicos: Datos personales que no correspondan a categorías Especiales o Penales.

o Por ejemplo: nombre, dirección, e-mail, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.

Especiales: (datos sensibles): Datos relativos a:


o Origen étnico o racial.

o Opiniones políticas.

o Convicciones religiosas o filosóficas.

o Afiliación sindical.

o Datos genéticos o biométricos que permitan la identificación unívoca de una persona.

o Salud.

o Vida y orientación sexuales.

Penales: Datos relativos a condenas y delitos penales o medidas de seguridad conexas.

Categorías de tratamiento.

Alto riesgo: Tratamiento sujeto a una evaluación de impacto por ser susceptible de comportar un alto riesgo para la protección de los derechos y libertades de los interesados.

Transferencias internacionales de datos: Traspaso de datos a empresas de terceros países u organizaciones internacionales no establecidas en la UE.

Elaboración de perfiles: Confección de decisiones individuales basadas en un tratamiento automatizado de datos, destinadas a evaluar aspectos personales o analizar o predecir el rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de una persona.

Grupos de empresas: Grupo que comprende una empresa que ejerce el control y las empresas controladas.

Titularidad o interés público:

o Tratamientos realizados por Autoridades u Organismos públicos en el ejercicio de sus funciones.

o Tratamientos con fines de interés público fundamentados en la legislación vigente.

o Tratamientos con fines de investigación histórica, estadística o científica.

Principios del tratamiento de datos.

Los principios del tratamiento son la base fundamental de la protección de datos. Los datos personales serán tratados con:

Licitud: Lealtad y transparencia con el interesado.

Limitación de los fines: Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.

Minimización de los datos: Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Exactitud: Actualizados sin demora con respecto a los fines para los que se tratan.

Limitación del plazo de conservación: Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.

o Excepto si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.

Integridad y confidencialidad: Implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.

Responsabilidad proactiva: Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.


Protocolos de responsabilidad proactiva.

Legitimación del tratamiento: Sirve para demostrar el cumplimiento de los principios del tratamiento de datos.

Política de información: Sirve para comunicar al interesado los detalles del tratamiento y los derechos que le asisten.

Política de seguridad: Sirve para garantizar la protección de datos en todas las fases del tratamiento teniendo en cuenta la probabilidad de riesgos que puedan afectar los derechos y libertades de los interesados.

Análisis de riesgos: Sirve para analizar las operaciones de tratamiento con el fin de determinar la probabilidad que exista un alto riesgo para los derechos y libertades de los interesados y, si fuera el caso, realizar una evaluación del impacto relativa a la protección de datos.

Evaluación de impacto: Sirve para pronosticar los altos riesgos que atañen al tratamiento con el fin de remediar o mitigar los efectos que puedan perjudicar los derechos y libertades de los interesados.

Registro de las actividades del tratamiento: Sirve para controlar las responsabilidades y las actividades de todos los intervinientes en el tratamiento.

Gestión de violaciones de la seguridad: Sirve para resolver las brechas de seguridad producidas en el transcurso del tratamiento de datos, con el fin minimizar los riesgos y mitigar los daños o perjuicios ocasionados a interesados o terceros.

Atención de los derechos del interesado: Sirve para informar al interesado del tratamiento realizado con sus datos personales y facilitarle el gobierno de los mismos.

Certificado de cumplimiento: Sirve para garantizar el cumplimiento del GDPR ante los interesados o cualquier empresa interviniente en el tratamiento.

5. Registro de actividades de tratamiento.

5.1. Tratamiento: Clientes

5.1.1. Finalidad del tratamiento:

Gestión de la relación con los clientes.

5.1.2. Legitimación: Ejecución de un contrato.

5.1.3. Descripción de las categorías de clientes y de las categorías de datos personales:

Clientes: Personas con las que se mantiene una relación comercial como clientes.

Categorías de datos personales:

Los necesarios para el mantenimiento de la relación comercial. Facturar.

De identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail.

Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad.

Datos bancarios: para la domiciliación de pagos.

5.1.4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales:


Administración tributaria.

Bancos y entidades financieras.

5.1.5. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos:

Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades.

5.1.6. Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos:

No está prevista ninguna transferencia internacional de datos.

5.1.7. Medidas de seguridad:

Véase el capítulo 13.

5.2. Tratamiento: Empleados

5.2.1. Finalidad del tratamiento

Gestión de la relación laboral con los empleados.


5.2.3. Descripción de las categorías de empleados y de las categorías de datos personales:

Empleados:

Personas que trabajan para el responsable del tratamiento.


Los necesarios para el mantenimiento de la relación laboral. Gestionar la nómina.

De identificación: nombre, apellidos, número de Seguridad Social, dirección postal, teléfonos, e-mail.

Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad y porcentaje de minusvalía.

Datos académicos.

Datos profesionales.

Datos bancarios, para la domiciliación del pago de las nóminas.


Seguridad Social.

Autoridades laborales y fiscales.

Mutualidades sanitarias.

Compañías de seguros.

Encargados de Riesgos Laborales y prevención de la salud.

Encargados de tratamiento de Personal y Recursos Humanos.



Los previstos por la legislación fiscal y laboral respecto a la prescripción de responsabilidades.

5.2.6. Transferencias internacionales de datos y documentación de garantías para transferencias de

datos internacionales exceptuadas sobre base de intereses legítimos imperiosos:




5.3. Tratamiento: Solicitantes de empleo.


Gestión de las solicitudes de empleo.

5.3.2. Legitimación: Consentimiento.

5.3.3. Descripción de las categorías de solicitantes y de las categorías de datos personales:

Solicitantes:

Personas que solicitan ser contratados como empleados.


Los necesarios para la selección de personal.

De identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail.


Datos académicos: Estudios, certificados de formación, idiomas.

Datos Profesionales: Historia laboral, experiencia, proyectos realizados.


Encargado de tratamiento de Recursos Humanos.


Los previstos hasta la selección definitiva del personal. Mínimo 6 meses.






5.4. Tratamiento: Agendas electrónicas.


Comunicación con terceros relacionados con la actividad de la empresa.


Relación laboral.

Relación mercantil.

Interés legítimo prevalente del responsable.

Relación con la actividad del responsable.

Obligación legal para el responsable.

Representante legal propio o de terceros.

Funcionarios y cargos públicos relacionados con las obligaciones legales del responsable.

5.4.3. Descripción de las categorías de contactos y de las categorías de datos personales:

Contactos:

Personas relacionadas con la actividad de la empresa.


Los necesarios para el mantenimiento de la actividad empresarial.

De identificación: nombre y apellidos, dirección postal, teléfonos, e-mail, firma electrónica.


Datos académicos: Estudios, certificados de formación, idiomas.

Datos Profesionales: Empleo, experiencia, proyectos realizados.


Empleados.

Encargados de tratamiento.

Clientes y usuarios.

Proveedores.


Los previstos hasta la finalización de su relación con la actividad de la empresa.






6. Identificación de la base jurídica de los tratamientos.

En base al registro de actividades de tratamiento del responsable, la licitud de dichos tratamientos se basa en las siguientes circunstancias:

a) El tratamiento es necesario para la ejecución de un contrato con el interesado.

a. Contrato mercantil. b. Contrato laboral.

b) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del

tratamiento, en función de su actividad empresarial.

a. Normativa Fiscal. i. Real Decreto-ley 9/2015, de 10 de julio, de medidas urgentes para reducir la carga tributaria

soportada por los contribuyentes del Impuesto sobre la Renta de las Personas Físicas y otras

medidas de carácter económico.

ii. Real Decreto 633/2015, de 10 de julio, por el que se modifican el Reglamento del Impuesto

sobre la Renta de las Personas Físicas, aprobado por el Real Decreto 439/2007, de 30 de

marzo, y el Reglamento del Impuesto sobre la Renta de no Residentes, aprobado por el Real

Decreto 1776/2004, de 30 de julio.

iii. Real Decreto 439/2007, de 30 de marzo, por el que se aprueba el Reglamento del Impuesto

sobre la Renta de las Personas Físicas y se modifica el Reglamento de Planes y Fondos de

Pensiones, aprobado por Real Decreto 304/2004, de 20 de febrero.

iv. Ley 35/2006, de 28 de noviembre, del Impuesto sobre la Renta de las Personas Físicas y de

modificación parcial de las leyes de los Impuestos sobre Sociedades, sobre la Renta de no

Residentes y sobre el Patrimonio.

v. Real Decreto 1624/1992, de 29 de diciembre, por el que se aprueba el Reglamento del

Impuesto sobre el Valor Añadido.

vi. Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.

b. Normativa Empresarial. i. Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido

de la Ley General de la Seguridad Social.

ii. Real Decreto 899/2015, de 9 de octubre, por el que se modifica el Real Decreto 39/1997, de

17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.

iii. Ley 31/2015, de 9 de septiembre, por la que se modifica y actualiza la normativa en materia

de autoempleo y se adoptan medidas de fomento y promoción del trabajo autónomo y de

la Economía Social.

iv. Orden HAP/1074/2014, de 24 de junio, por la que se regulan las condiciones técnicas y

funcionales que debe reunir el Punto General de Entrada de Facturas Electrónicas.

v. Orden ESS/1727/2013, de 17 de septiembre, por la que se modifica la Orden TAS/770/2003,

de 14 de marzo, por la que se desarrolla el Real Decreto 1424/2002, de 27 de diciembre,

por el que se regula la comunicación del contenido de los contratos de trabajo.

vi. Resolución de 25 de noviembre de 2008, de la Inspección de Trabajo y Seguridad Social,

sobre el Libro de Visitas electrónico de la Inspección de Trabajo y Seguridad Social.

vii. Real Decreto 1515/2007, de 16 de noviembre, por el que se aprueba el Plan General de

Contabilidad de Pequeñas y Medianas Empresas y los criterios contables específicos para

microempresas.

viii. Real Decreto 1514/2007, de 16 de noviembre, por el que se aprueba el Plan General de

Contabilidad

ix. Resolución de 11 de abril de 2006, de la Inspección de Trabajo y Seguridad Social, sobre el

Libro de Visitas de la Inspección de Trabajo y Seguridad Social.

x. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio

electrónico.

xi. Ley 19/1985, de 16 de julio, Cambiaria y del Cheque.

c. Normativa laboral. i. Real Decreto Legislativo 3/2015, de 23 de octubre, por el que se aprueba el texto refundido

de la Ley de Empleo.


ii. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido

de la Ley del Estatuto de los Trabajadores.

iii. Real Decreto-ley 3/2014, de 28 de febrero, de medidas urgentes para el fomento del

empleo y la contratación indefinida.

iv. Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral.

v. Real Decreto-ley 3/2012, de 10 de febrero, de medidas urgentes para la reforma del

mercado laboral.

d. Normativa Mercantil. i. Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados.

ii. Ley 3/2004, de 29 de diciembre, por la que se establecen medidas de lucha contra la

morosidad en las operaciones comerciales.

iii. Real Decreto Legislativo 6/2004, de 29 de octubre, por el que se aprueba el texto refundido

de la Ley de ordenación y supervisión de los seguros privados.

iv. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio

electrónico.

v. Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación.

vi. Ley 12/1992, de 27 de mayo, sobre Contrato de Agencia.

vii. Ley 50/1980, de 8 de octubre, de Contrato de Seguro.

c) El tratamiento es necesario para la satisfacción de intereses legítimos propios, o de un tercero, perseguidos por el responsable.

a. Actividades comerciales generalizadas relacionadas con la actividad empresarial

d) Que el interesado haya prestado su consentimiento para fines específicos.

a. Actividades comerciales personalizadas relacionadas con la actividad empresarial.


7. Deber de informar.

¿Quién y cuándo debe informar?

La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el responsable del tratamiento, sin perjuicio de que, en los casos en que la recogida de información la lleve a cabo un encargado del tratamiento, también se le pueda encomendar que informe a las personas interesadas.

La información se debe poner a disposición de los interesados en el plazo siguiente:

Si la información se obtiene del propio interesado: en el momento en que se soliciten los datos. Si la información no se obtiene del propio interesado: dentro de un plazo razonable, pero en cualquier caso dentro de un mes, salvo que deba informarse con anterioridad por concurrir alguna de las causas siguientes:

Si los datos han de utilizarse para comunicación con el interesado, se debe informar antes o en la primera comunicación con él.

Si está previsto comunicarlos a otro destinatario, se debe informar antes o en el momento de dicha comunicación.

Cuando posteriormente se pretenda utilizar los datos para un fin diferente a aquel para el que se

recogieron, con carácter previo se proporcionará la información necesaria vinculada a esa nueva finalidad. ¿Cuándo no es preciso informar?

No será preciso informar cuando:

Los datos procedan del interesado y el interesado ya disponga de la información.

Los datos no procedan del interesado y concurra alguna de las circunstancias siguientes:

o El interesado ya disponga de toda la información legalmente exigible. o La comunicación resulte imposible o suponga un esfuerzo desproporcionado. o La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de

los Estados miembros. o Cuando los datos deban seguir teniendo carácter confidencial por una obligación legal de

secreto profesional, incluida una obligación de secreto de naturaleza estatutaria. Contenido del derecho de información.

Cuando la información se obtenga del interesado, se deberá informar sobre los aspectos siguientes:

La identidad y los datos de contacto del responsable y, en su caso, de su representante.

Los datos de contacto del delegado de protección de datos, en su caso.

Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.

El interés legítimo perseguido por el responsable o un tercero, cuando el tratamiento se base en dicho interés legítimo.

Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.

La previsión, en su caso, de transferencias de datos personales a terceros países y la existencia de una decisión de adecuación o garantías adecuadas y a los medios para obtener una copia de éstas.

El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinarlo.

La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, la limitación de su tratamiento, a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.


Cuando el tratamiento esté basado en el consentimiento, el derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

El derecho a presentar una reclamación ante una autoridad de control.

Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.

La existencia de decisiones automatizadas, incluida la elaboración de perfiles. Si produce efectos jurídicos en el interesado o le afecta significativamente, o afecta categorías especiales de datos, la debe contener información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el interesado.

Cuando la información no se obtenga del interesado, se deberá informar sobre todos los aspectos que se

acaban de relacionar y además sobre los aspectos siguientes:

Las categorías de datos personales de que se trate.

La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.

En cualquier caso, la información debe ser suficiente y adecuada para garantizar un tratamiento de datos

leal y transparente. ¿Dónde y cómo informar?

Los procedimientos de recogida de información pueden ser muy variados y, en consecuencia, los modos de informar a las personas interesadas deben adaptarse a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos. Por ejemplo, algunas de las formas más habituales de recogida de datos y, en consecuencia, a través de los cuales hay que informar, pueden ser:

Formularios en papel. Navegación o formularios Web. Datos de actividad personal. Entrevista telefónica. Registro de aplicaciones móviles. Datos de sensores (IoT).

Por otra parte, las comunicaciones al interesado sobre datos ya disponibles, o tratamientos

adicionales, pueden hacerse llegar, entre otros, por medio de:

Correo postal. Mensajería electrónica. Notificaciones emergentes en servicios y aplicaciones.

La obligación de informar se debe cumplir sin necesidad de requerimiento alguno, y el responsable

deberá poder acreditar con posterioridad que ha cumplido dicha obligación.

Formularios de papel: Es preciso conservar el formulario impreso original o su copia digitalizada, con la firma del interesado.

Formularios web: Es preciso obligar a marcar un cuadro de chequeo, para que el usuario acepte

haber leído, entendido y aceptado la política de privacidad respecto de los datos de carácter personal del responsable de tratamiento. Es recomendable generar un correo electrónico automático, con los datos del interesado, cuyo destinatario sea el responsable, para que pueda guardarlo como prueba de aceptación. En las páginas web del responsable del tratamiento, la opción de visualización mediante enlace a un fichero PDF® u otra página, para mostrar la Política de Privacidad, debe estar visible y accesible en todas las páginas de la web, junto con el Aviso Legal o Condiciones de Uso (LSSICE - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico).


En cualquier caso, la información a las personas interesadas debe proporcionarse:

En un lenguaje claro y sencillo.

De forma concisa, transparente, inteligible y de fácil acceso.

Se debe buscar un equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos.

Se debe evitar el abuso de citas legales innecesarias y términos ambiguos o con escaso sentido para las personas destinatarias.

Cuando los destinatarios sean menores, debe utilizarse un lenguaje adecuado a su nivel de comprensión.

Cuando lo solicite el interesado, la información también podrá facilitarse verbalmente.

Para el cumplimiento del deber de información, se utilizarán los siguientes formularios para cada tratamiento y plataforma:

Tratamiento Plataforma Formulario

Empleados Papel Anexo A.1

Agendas electrónicas Correo electrónico Anexo A.2

Solicitantes de empleo Papel Anexo A.3

Solicitantes de empleo Correo electrónico Anexo A.4

Clientes Web Anexo D.1

Clientes Papel Anexo A.7

Clientes Web – Cookies Anexo D.2

Clausula informativa:

El texto que se muestra a continuación es un ejemplo de qué debería ser incluido en todos aquellos

formularios que se utilicen para recabar datos personales, tanto si se realiza en soporte papel como si se recoge a través de un formulario web:

De acuerdo con el Reglamento Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de

las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, le indicamos la siguiente:

Información básica sobre Protección de Datos

Responsable BODEGAS ARRAYAN, S.L.

Finalidad

Gestión administrativa, fiscal y contable de los productos y servicios contratados.

Gestionar la agenda de contactos de nuestra empresa.

Atender a sus peticiones de consulta vía electrónica.

Legitimación Ejecución de un contrato.

Destinatarios Empresas de logística para la entrega de los productos contratados. Entidades financieras para el cobro de los productos y servicios contratados. No hay previsión de transferencias de datos a países terceros.

Derechos

Para ejercer el derecho de acceso, rectificación, cancelación, oposición, limitación de tratamiento y portabilidad, deberá dirigirse mediante notificación escrita con copia de DNI, a BODEGAS ARRAYAN, S.L. sita en C/ DUQUE DE SEVILLA 14 28002 MADRID, o por correo electrónico a [email protected].

Duración del tratamiento


Información adicional

Las categorías de datos que se tratan son:

Datos de identificación.

Códigos o claves de identificación.

Direcciones postales o electrónicas.

Información comercial.

Datos económicos. No se tratan datos especialmente protegidos. No está prevista la toma de decisiones automatizadas o elaboración de perfiles.


8. Consentimiento.

Cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases

jurídicas de los puntos 5.a, 5.b y 5.c, deberá solicitarse el consentimiento del interesado para el tratamiento de sus datos personales, y así se hará constar en este apartado.

En el caso de que la finalidad principal sí esté legitimada por alguna de las bases jurídicas antes apuntadas, pero alguna finalidad específica requiera del consentimiento del afectado, se harán constar ambas legitimaciones.

En este último caso, se debería informar al interesado de que la finalidad principal, no está supeditada al consentimiento de los datos que no sean necesarios para dicha finalidad principal, puesto que de lo contrario el consentimiento no tendría la consideración de “otorgado libremente”.

Deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, teniendo en cuenta el requisito impuesto por el RGPD de que el consentimiento deba otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado.

Libre: deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento.

Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del Responsable del Tratamiento.

Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades

para las que se recogen los datos.

Inequívoco: es preciso que exista expresamente una acción que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto).

El consentimiento implícito ya no está permitido, ni las finalidades genéricas, teniendo que obtenerse de

forma explícita y detallada para cada finalidad. Como por ejemplo:

Usted reconoce haber leído y entendido la finalidad de los datos facilitados y autoriza expresamente a que BODEGAS ARRAYAN, S.L., pueda enviarle información sobre:

☐Si. ☐ No. Productos, servicios y comunicaciones de cortesía de BODEGAS ARRAYAN, S.L.

☐Si. ☐ No. Promociones comerciales de BODEGAS ARRAYAN, S.L.

☐Si. ☐ No. Newsetter de BODEGAS ARRAYAN, S.L.

☐Si. ☐ No. Productos, servicios y comunicaciones de cortesía del grupo de empresas de BODEGAS ARRAYAN, S.L.

☐Si. ☐ No. Promociones comerciales del grupo de empresas de BODEGAS ARRAYAN, S.L.

☐Si. ☐ No. Newsetter del grupo de empresas de BODEGAS ARRAYAN, S.L.

Marque una de las dos opciones.

Por el medio de comunicación:

☐Si. ☐ No. Correo electrónico.

☐Si. ☐ No. SMS.

☐Si. ☐ No. Carta postal / mensajería.

☐Si. ☐ No. Llamada telefónica.

☐Si. ☐ No. WhatsApp u otra mensajería electrónica instantánea.



AVISO: Si el interesado marca la opción NO, en ningún caso podrá enviarle publicidad o utilizar ese medio de comunicación.

El responsable del tratamiento tiene que poder acreditar con posterioridad que ha cumplido dicha obligación:

Formularios de papel: Es preciso conservar el formulario impreso original o su copia digitalizada, con la firma del interesado.

Formularios web: Es preciso reenviar un correo electrónico u otro tipo de comunicación electrónica (SMS, mensajería instantánea), para que el usuario conteste habiendo otorgado su consentimiento respecto del tratamiento de sus datos de carácter personal por el responsable.

Dicho mensaje deberá ser conservado por el responsable, pues es la prueba de verificación del otorgamiento del consentimiento.

A tal efecto, en el mensaje de confirmación, se puede:

o Incluir un enlace URL a un formulario web, con una clave personalizada y única, donde el interesado deba realizar alguna acción que confirme su identidad y consentimiento.

o Obligarle a contestar el correo, escribiendo algún texto que confirme su consentimiento (por ej.: ‘CONSIENTO’, en el asunto o el cuerpo del mensaje.

o Indicarle que llame a un número de teléfono de atención al cliente, del responsable, para que se grabe la conversación, previo aviso del operador (automatizado o persona).

A fin de que el procedimiento ofrezca garantías, los datos del formulario web, no se deben enviar, hasta que el usuario haya marcar una casilla de ‘He leído y acepto la política de privacidad’, debiendo tener un link a dicho documento, abriéndole en una ventana o enlazándole con el fichero PDF® que lo contiene.

Se recomienda el uso de sistemas de comprobación de usuario humano, para evitar ataques por robots digitales, mediante la petición de introducción de claves mostradas por ‘captcha’, hacer clic en una casilla ‘No soy un robot’, hacer clic en imágenes de un mosaico que contengan algo que no se identifique por un metadato, etc.

Hay que recordar que según la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, es obligatorio identificar al titular de la página web, por lo que en todo momento está visible el enlace al ‘Aviso Legal’ o ‘Condiciones de uso’, donde se indica:

Razón social.

Domicilio fiscal.

CIF, DNI o NIE del titular.

Datos de inscripción en el Registro Mercantil.


9. Ejercicio de derechos de los interesados.

El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información básica solicitada, así como cualquier comunicación relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios

electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

Ejercicio personalísimo.

Los derechos también podrán ejercitarse a través de representante voluntario,

expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquél.

Cuando el Responsable del Fichero sea un órgano de las Administraciones públicas o de la

Administración de Justicia, podrá acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.

Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del

afectado y no se acreditase que la misma actúa en representación de aquél.

Procedimientos de ejercicio de derechos.

Se informará a todos los trabajadores y demás interesados, cuyos datos de carácter

personal son tratados por BODEGAS ARRAYAN, S.L., acerca del procedimiento para atender sus derechos, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:

o Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición y portabilidad. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

o El responsable del tratamiento facilitará al interesado información relativa a sus

actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

Para el derecho de acceso (Art.15) se facilitará a los interesados la lista de los datos

personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento de los datos. Véase Anexo F.2.

Acreditación: Fotocopia del DNI del interesado, escrito de solicitud firmado por el interesado, autorización firmada por el interesado en caso de que el solicitante no sea el interesado.

Alcance. La petición en que se concreta la solicitud de acceso, deberá especificar si se solicita información relativa a datos concretos, a datos


incluidos en un determinado fichero o tratamiento, o a la totalidad de sus datos sometidos a tratamiento.

Justificación: no es necesaria, salvo si se ha ejercitado el derecho en los últimos seis meses.

Plazos: El responsable del tratamiento resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Excepcionalmente y si el número de solicitudes supone un esfuerzo desmesurado para el Responsable, se puede prorrogar otros dos meses, previa justificación ante la AEPD.

Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.

Aprobación: Comunicación escrita por correo certificado con acuse de recibo o burofax.

Para el derecho de rectificación (Art.16) se procederá a modificar los datos de los

interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento. Véase Anexo F.3.


Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.

Plazo: 30 días.

Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.

Aprobación: Comunicación escrita por correo certificado con acuse de recibo o burofax.

Para el derecho de limitación del tratamiento (Art.18), no se tratarán los datos de los

interesados cuando: a) el interesado impugne la exactitud de los datos personales, durante un plazo que

permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento,

pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1,

mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. 2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado

1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. 4.5.2016 L 119/44 Diario Oficial de la Unión Europea ES 3.


Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha

limitación.


Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.

Plazo: 30 días.

Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

Aprobación: Comunicación escrita por correo certificado con acuse de recibo o burofax. Anotación en la ficha XXXXXXX del programa XXXXX, en el campo XXXXX, del texto “XXXXX”, para su control automatizado.

Para el derecho de oposición (Art.21) se bloquearán los datos de los interesados

cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida. Véase Anexo F.4.


Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.

Plazo: 30 días.

Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

Aprobación: Comunicación escrita por correo certificado con acuse de recibo o burofax. Anotación en la ficha XXXXXXX del programa XXXXX, en el campo XXXXX, del texto “XXXXX”, para su control automatizado.

Para el derecho de supresión (Art.17) se suprimirán los datos de los interesados

cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida y hayan prescrito las responsabilidades del responsable y del/os encargado/s del tratamiento. Véase Anexo F.5.


Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.

Plazo: 30 días.

Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

Aprobación: Comunicación escrita por correo certificado con acuse de recibo o burofax. Anotación en la ficha XXXXXX del programa XXXXX, en el campo XXXXX, del texto “XXXXX”, para su control automatizado.

Para el derecho de portabilidad (Art.20) los interesados deberán comunicar su decisión

e informar al responsable, en su caso, sobre la identidad del nuevo responsable al que facilitar sus datos personales. Dicho traspaso de datos, será factible cuando:

El tratamiento se efectúe por medios automatizados.

Sea técnicamente posible.


No sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

No afectará negativamente a los derechos y libertades de otros.

Para el derecho de no ser objeto de decisiones individuales automatizadas (Art.22) los interesados deberán comunicar su decisión e informar al responsable, de no querer ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos.

Subsanación.

En el supuesto de que la comunicación por escrito no reúna los requisitos especificados

cada ejercicio de derecho, el Responsable del Fichero tiene la obligación de solicitar al interesado la subsanación de los mismos.

Negación a dar curso a la solicitud.

Si el responsable del tratamiento no da curso a la solicitud del interesado, le deberá

informar sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales. (artículo 12.4 RGPD).

Coste del ejercicio de los derechos.

Toda la información que se preste por el responsable (de los artículos 13 a 22 y 34 RGPD)

en el marco del ejercicio de los derechos deberá darse a título GRATUITO. No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá (artículo 12.5 RGPD):

a) cobrar un canon razonable en función de los costes administrativos afrontados para

facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud. En cualquier caso, el responsable del tratamiento tiene la carga de demostrar el carácter

manifiestamente infundado o excesivo de la solicitud.

Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.

El responsable del tratamiento comunicará cualquier rectificación o supresión de datos

personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.


10. Estudio de la necesidad de D.P.D.

Delegado de Protección de Datos (en inglés Data Protection Officer - DPO), especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos. El DPD tiene, como mínimo, las siguientes funciones:

Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.

Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.

Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.

Cooperar con las “autoridades de control” (Agencias de Protección de Datos).

Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

Elaboración y mantenimiento del Registro de actividades.

¿Es una especie de “Defensor” del Ciudadano o del Cliente?

Los titulares, afectados o interesados pueden dirigirse al Delegado de Protección de Datos para todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones. ¿Quiénes “deben” tener un Delegado de Protección de Datos?

Están obligados a nombrar un Delegado de Protección de Datos:

Las Administraciones Públicas (autoridades y organismos, excepto Tribunales).

Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática

(1) y

a gran escala(2)

de sus titulares.

Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala(2)

de categorías de datos personales especialmente protegidas

(3) (artículo 9) y de datos relativos a condenas

e infracciones penales (artículo 10).

Artículo 35 ALOPD. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades: a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre

colegios profesionales. b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de

Educación, y las Universidades públicas y privadas.


c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo

dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones. d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios

de sus servicios, sea o no exigible el registro previo para la obtención de los mismos. e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y

solvencia de entidades de crédito. f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de

fomento de la financiación empresarial. g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de

ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del

Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre. i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013,

de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y

crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de

investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes

con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de

personas y empresas. n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos,

telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

o) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada

(1) «SEGUIMIENTO REGULAR Y SISTEMÁTICO» La noción de seguimiento regular y sistemático de

interesados no está definida en la NGPD, pero el concepto de «seguimiento del comportamiento de interesados» se menciona en el considerando 2415 e incluye claramente todas las formas de seguimiento y creación de perfiles en Internet, inclusive a efectos de publicidad basada en el comportamiento. No obstante, la noción de seguimiento no está limitada al entorno on-line y el seguimiento en Internet solo debe considerarse un ejemplo de seguimiento del comportamiento de los interesados. El GP29 interpreta «regular» con algunos de los siguientes significados:


o Continuado o que se produce a intervalos concretos durante un periodo concreto o Recurrente o repetido en momentos prefijados o Que se produce de forma constante o periódica

El GP29 interpreta «sistemático» con algunos de los siguientes significados:

o Que se produce de acuerdo con un sistema o Preestablecido, organizado o metódico o Que tiene lugar como parte de un plan general de recogida de datos o Llevado a cabo como parte de una estrategia

(2) «A GRAN ESCALA». Los apartados b y c del artículo 37(1) determinan que el tratamiento de los datos

personales debe llevarse a cabo a gran escala para poner en marcha la designación de un DPD. La NGPD no define lo que constituye «a gran escala», si bien el considerando 91 ofrece alguna orientación a este respecto. De hecho, no es posible señalar una cifra exacta ya sea con relación a la cantidad de datos procesados como al número de personas afectadas, que sería aplicable en todas las situaciones. Esto no excluye la posibilidad, no obstante, de que con el tiempo pueda desarrollarse un método estándar para especificar en términos objetivos y cuantitativos lo que constituiría «a gran escala» respecto de determinados tipos de actividades de tratamiento comunes. El GP29 prevé también contribuir a este desarrollo compartiendo y publicando ejemplos de los umbrales pertinentes para la designación de un DPD. En cualquier caso, el GP29 recomienda que se tengan en cuenta los siguientes factores, en especial, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:

o El número de interesados involucrados -bien como cifra concreta o como proporción de la población correspondiente-.

o El volumen de datos o el abanico de diferentes conceptos de datos que se procesan. o La duración, o permanencia, de la actividad de tratamiento de datos. o El alcance geográfico de la actividad de tratamiento.

Son ejemplos de tratamiento a gran escala los siguientes:

o Tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital. o Tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de

transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte). o Tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de

comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios.

o Tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco.

o Tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda.

o Tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet.

Casos que no constituyen tratamiento a gran escala son los siguientes:

o tratamiento de datos de pacientes por parte de un médico o tratamiento de datos personales relativos a condenas y delitos penales por parte de un

abogado

(3) “CATEGORÍAS ESPECIALES DE DATOS PERSONALES”, que se describen en el art. 9 del RGPD, se refiere

a los datos que puedan revelar:


o el origen étnico o racial. o las opiniones políticas. o las convicciones religiosas o filosóficas. o la afiliación sindical. o los datos genéticos. o los datos biométricos dirigidos a identificar de manera unívoca a una persona física. o los datos relativos a la salud. o y los datos relativos a la vida sexual o las orientaciones sexuales.

¿Quiénes “pueden” tener un Delegado de Protección de Datos?

No están obligados a tener delegado de Protección de Datos, pero es conveniente:

Empresas (normalmente, PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

Cualidades profesionales. La persona que se designe como DPD deberá reunir los siguientes conocimientos y características:

Profesional con conocimientos de derecho y legislación y práctica en materia de protección de datos.

Se requieren cualidades de distinta naturaleza, incluyendo conocimientos jurídicos, técnicos (para supervisar la seguridad), de organización (con especial conocimiento de las operaciones de tratamiento), cualidades personales (integridad y alta ética profesional), así como habilidades de comunicación (para promover la cultura del cumplimiento) y directivas (para ser capaz de vincular a los responsables que traten datos al cumplimiento y atraer presupuesto de esas áreas de ingresos).

No se designará a ninguna persona que decida sobre los fines y medios de los tratamientos (p.e., director de marketing, de TI, financiero, RRHH, etc.)

Determinación de la necesidad de DPD.

Una vez estudiada la actividad del responsable del tratamiento y los tratamientos de datos que realiza, se determina que NO es obligatoria la designación de un Delegado de Protección de Datos.

El responsable del tratamiento tampoco considera necesario la designación de un DPD, por motivos

de imagen, calidad, control, seguridad u otra índole.


11. Estudio de la necesidad de E.I.P.D.

La regulación material de las EIPD se sitúa en el art. 35 del Reglamento 2016/679, dedicándose el art. 36 a las consultas previas, cuestión como veremos vinculada estrechamente a las EIPD; en relación a las evaluaciones de impacto se establece con carácter general, que: “Cuando sea probable que un tipo de

tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe

un alto riesgo para los derechos y libertades de las personas físicas”, el responsable del tratamiento deberá, antes de llevar a cabo las operaciones de tratamiento, realizar una evaluación del impacto del tratamiento en la protección de los datos personales.

Siempre habrá que tener presente que la introducción de nuevas tecnologías, o nuevos usos de las tecnologías, va ser particularmente relevante a la hora de tomar la decisión de llevar a cabo la EIPD, por tanto habrá que prestar especial atención a las características de esas nuevas tecnologías, o a la manera en que pretenden utilizarse.

Se deja abierta la posibilidad a que una sola evaluación pueda abordar un conjunto de operaciones de procesamiento similares, que presenten altos riesgos similares, por tanto no hay inconveniente a que la evaluación pueda abarcar a diferentes tratamientos, por ejemplo, por motivos de coste en su realización.

En esta cuestión, el considerando 92 señala que "hay circunstancias en las que puede ser razonable y

económico que una evaluación de impacto relativa a la protección de datos abarque más de un único

proyecto”, añadiendo diversos ejemplos en lo que resultaría adecuado llevar a cabo esa EIPD conjunta.

Otra cuestión a tener en cuenta, es que cuando la EIPD afecte a operaciones de tratamiento que son realizadas conjuntamente por diferentes responsables de tratamiento, la evaluación deberá determinar con precisión a quien corresponde implantar las diferentes medidas resultantes de la gestión de los riesgos derivada de la evaluación de impacto.

Se puede dar también la casuística de que la EIPD se lleve a cabo respecto de una solución de “software”, o incluso en relación a un dispositivo, que serán utilizados por diferentes responsables de tratamientos, y muy probablemente en diferentes tipologías de tratamientos, en ese caso, esa evaluación de impacto de la solución o producto también podrá resultar útil a los efectos de evaluar el impacto del tratamiento, aunque obviamente habrá que realizar la EIPD respecto de la implementación específica de la solución de “software” o de “hardware”.

Hay que tener presente que llevar a cabo la evaluación no es obligatorio para todos los tratamientos, solo para aquellos en que sea probable que el riesgo sea elevado o especialmente relevante, lo que se traduce en la expresión de “alto riesgo”.


¿Quién debe llevar a cabo la EIPD?

La obligación de llevar a cabo una EIPD corresponde al responsable del tratamiento, con el apoyo y/o colaboración del encargado del tratamiento y del delegado de protección de datos.

Materialmente podrá ser llevada a cabo de manera interna o externa, pero en ningún caso desplaza al responsable del tratamiento, en cuanto a que se trata de su obligación, por tanto deberá asumir la responsabilidad de que se lleve a cabo cuando corresponda, que se haga de la manera adecuada, con los recursos adecuados y que se implanten las medidas resultantes de la evaluación.

Se puede dar la circunstancia de que una misma evaluación abarque a más de un proyecto de tratamiento, que implique la concurrencia de diversos responsables, en ese caso habrá que definir la responsabilidad respecto de la realización de la EIPD en función de la intervención que cada responsable tenga en las diferentes operaciones de tratamiento.

En la realización de la EIPD puede ser necesario que concurran toda una serie de agentes internos o externos a la organización, como pueden ser unidades o áreas de negocio específico, expertos independientes, responsables de seguridad, áreas de tecnologías de la información, e incluso como veremos, los colectivos afectados por las operaciones de tratamiento.

En cualquier caso reiterar que es obligación del responsable del tratamiento llevar a cabo la EIPD, lo que el GT29 en el WP 248 describe como: “accountable for that task”.

En este sentido habrá que tener en cuenta y poner en relación el considerando (76) del RGPD, que en su primera parte considera que:

“La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos.”

Y en segundo lugar, por lo que respecta a la evaluación de los riesgos, considera que:

“El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”

Si nos situamos en el contexto de las EIPD, deberemos considerar que existe un alto riesgo cuando

las operaciones de tratamiento de los datos personales potencialmente puedan causar una grave vulneración de los derechos y libertades de las personas cuyos datos son objeto de tratamiento.

Por derechos y libertades debemos entender todos aquellos reconocidos como fundamentales por el ordenamiento jurídico3, lo que incluye también los reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, entre ellos obviamente, al derecho a la protección de los datos de carácter personal (art. 8 de la Carta).

¿Cuándo vamos a considerar que se puede producir una grave vulneración de los derechos y libertades fundamentales?. Con carácter general:

Cuando potencialmente el tratamiento de los datos personales pueda llegar a impedir el libre ejercicio de los derechos y libertades a sus titulares (nota: obviamente esto no quiere esto decir que esa sea la finalidad del tratamiento, ya que eso lo haría directamente ilegítimo, sino que en virtud del riesgo inherente que implica la sola acumulación de la información y la propia ejecución de las operaciones de tratamiento debemos valorar que potencialmente se podría llegar a dar esa vulneración)

Cuando potencialmente el tratamiento de los datos personales pueda dejar sin contenido al derecho o libertad (aquí debe tener también en cuenta la nota del párrafo anterior)

Cuando potencialmente el tratamiento de los datos personales pueda ser el origen de «daños y perjuicios físicos, materiales o inmateriales» para las personas interesadas.


11.1. Informe del análisis de la necesidad de hacer la Evaluación de Impacto.

11.1.1. Descripción del proyecto.

11.1.1.1. Promotor del proyecto.

BODEGAS ARRAYAN, S.L. es una sociedad que se dedica a la producción, venta y distribución de vinos de la marca Bodegas Arrayan.

11.1.1.2. Funcionalidades previstas e implantación.

Para el desarrollo de la actividad del responsable de tratamiento, actualmente se gestionan

datos de carácter personal para:

Gestión administrativa.

o Facturación.

o Control de producción.

o Control de compras y contrataciones.

Gestión contable.

o Contabilidad.

o Obligaciones fiscales.

Gestión laboral.

o Confección de nóminas.

o Prevención de Riesgos Laborales y Salud.

Gestión comercial.

o Marketing directo.

o Encuestas de satisfacción.

11.1.1.3. Personas o grupos de personas afectadas.

Empleados.

Clientes.

Solicitantes de empleo.

Personas de contacto.

Clientes potenciales.

Usuarios de las instalaciones. 11.1.2. Identificación y clasificación de los datos.

Identificación. o Nombre y apellidos.

o Teléfono/s de contacto.

o Domicilio

o Edad.

o Sexo.

o DNI.

o Dirección de correo electrónico.

Tutor o Representante legal.

o Nombre y apellidos.

o Teléfono/s de contacto.

o Domicilio

o Edad.

o Sexo.

o DNI.

Datos bancarios.

o Entidad, sucursal, domicilio de la sucursal.

o Cuenta bancaria. IBAN, BIC, SWIFT.


o Tarjeta de crédito.

Imagen.

Currículum Vitae.

o Datos académicos.

o Experiencia profesional.

Por su naturaleza, estos datos identifican al titular de éstos, por lo que se

consideran de carácter personal, siéndoles aplicables la actual normativa de privacidad.

11.1.2.1. Respecto de los datos objeto de tratamiento.

No hay datos sensibles.

11.1.3. Operaciones de tratamiento.

11.1.3.1. Respecto de las operaciones de tratamiento.

Recogida Registro Estructuración Modificación Conservación Extracción Consulta Comunicación por transmisión Difusión Interconexión Cotejo Limitación Supresión Destrucción Comunicación Otros:

11.1.3.1.1. Etapas del ciclo de vida de los datos.

Para describir adecuadamente un proyecto, desde la perspectiva del uso de datos de carácter personal, vamos a considerar que el ciclo de vida de esa información está dividido en 5 etapas. Etapa 1. Entrada (obtención de datos). El conjunto de la información usada por el sistema va a tener un origen, u orígenes, que deberán estar perfectamente identificados (un formulario en papel, o electrónico, un formulario web, una recogida automática o telefónica, unos datos calculados, una extracción de información, etc.), a su vez cada origen estará vinculado a uno o más proveedores de los datos (la propia persona interesada, terceros, un dispositivo, una base de datos preexistente, etc.). Origen de los datos de carácter personal:

1. Los proporciona el interesado o su representante legal. 2. Dispositivo. 3. Base de datos existente. 4. Los proporciona un tercero. 5. Fuentes públicas.

Sistema de obtención de datos de carácter personal:

1. Formulario papel. 2. Verbalmente. 3. Formulario digital (email, .doc, .pdf, …). 4. Formulario Web. 5. Comunicación electrónica entre dispositivos. 6. Telefónico.


7. Calculado. 8. Captura desde dispositivo electrónico. 9. Extraído de una o varias BBDD.

Tratamiento Obtención Método

Clientes 1 1,4

Empleados 1 1

Solicitantes de empleo 1 1,3,4

Agendas electrónicas 1 1,2,3,4,5,6,9

Etapa 2. Clasificación. Hay que conocer la utilidad de los datos que entran en el sistema, de tal modo que habrá que saber con precisión para qué los hemos recogido o dado entrada en el sistema.


Domicilio.

Datos bancarios para domiciliación de pagos / cobros. Etapa 3. Registro. En esta etapa describiremos las operaciones materiales de incorporación de la información en los sistemas de información, es decir, de qué manera se da de “alta” la información en el sistema cuando entra por primera vez, lo que incluye tanto los mecanismos utilizados (aplicaciones y tecnologías), como las personas o áreas implicadas en la introducción de la información del sistema.

Inserción manual en el ERP del encargado de tratamiento.

Inserción manual por el interesado en el formulario web de comercio electrónico (tienda On Line).

Etapa 4. Almacenamiento. Se trata de las operaciones y tecnologías que van a permitir la conservación de la información para su posterior recuperación (uso), por tanto vendrán definidas por determinadas soluciones técnicas, en función de cómo se vaya a organizar la información, sea en bases de datos estructuradas, bases de datos documentales, en sistemas desestructurados, simples sistemas de ficheros, etc.

Bases de datos del ERP ubicadas en el sistema informático de las oficinas del

responsable.

Etapa 5. Acceso. La etapa de acceso en el ciclo de vida de los datos tiene que ver con la funciones que van a poder desempeñar los usuarios del sistema, que se resumen en la posibilidad de consultar, modificar y eliminar datos información); esas funciones van a facilitar los diferentes usos que se han previsto de la información: visualizar (por pantalla), imprimir, listar, agrupar, filtrar, exportar, fusionar, analizar, calcular, cancelar, destruir, actualizar, transformar. etc.

Usuario Medio

Vis

ua

liza

r

Imp

rim

ir

List

ar

Ag

rup

ar

Filtr

ar

Exp

ort

ar

Fu

sio

na

r

An

aliza

r

Ca

lcu

lar

De

stru

ir

Act

ua

liza

r

Tra

nsf

orm

ar

Co

pia

r

Gu

ard

ar

Administrativo Papel X X X Administrativo Doc. Digital X X X X Jefe Area Papel X X X X X X Jefe Area. Doc. Digital X X X X X X

Encargado T. Papel X X X X X X X X X X X X X X

Encargado T. Doc. Digital X X X X X X X X X X X X X X


Los datos están minimizados, por lo que sólo se tratan los realmente necesarios para las funciones requeridas, siendo proporcionales y no excesivos.

11.1.3.2. Sistemas de información y tecnologías.

El software NO contempla la privacidad desde el diseño.

11.1.3.3. [Otras cuestiones relativas a las operaciones de tratamiento].

Tratamiento Realizado por T.I.D.

Clientes RT No

Empleados ET No

Solicitantes de empleo RT No

Agendas electrónicas RT No RT = Responsable de tratamiento. ET = Encargado del tratamiento. TID = Transferencia Internacional de Datos.

11.1.3.4. Tratamiento a gran escala.

Alcance local. Alcance provincial. Alcance regional. Alcance nacional. Alcance internacional.

Volumen de afectados actuales: <5000

Proporcionalmente elevado para el ámbito de alcance.

Volumen de afectados estimados a corto plazo: <5000 Proporcionalmente elevado para el ámbito de alcance.

Volumen de afectados estimados a medio plazo: <5000

Proporcionalmente elevado para el ámbito de alcance.

Volumen de afectados estimados a largo plazo: <5000 Proporcionalmente elevado para el ámbito de alcance.

11.1.3.5. Datos sensibles.

Origen étnico o racial.


Opiniones políticas. Convicciones religiosas o filosóficas. Afiliación sindical. Datos genéticos o biométricos que permitan la identificación unívoca de una

persona. Salud. Vida y orientación sexuales. Datos relativos a condenas y delitos penales o medidas de seguridad conexas.

11.1.3.6. Tratamientos sistemáticos.

Geoposicionamiento. Grabación de acceso a zonas públicas. Grabación de actividad laboral.

11.1.3.7. Nuevas tecnologías.

Reconocimiento facial. El desarrollo de un nuevo software, que se va a utilizar en:

o Dispositivos móviles (smartphones). o Página Web. o Servicio Cloud. o Sistema informático del responsable del tratamiento. o Sistema informático del encargado del tratamiento.

Requiere del cumplimiento de la privacidad desde el diseño, por lo que necesitará de su supervisión.

11.1.3.8. Exportaciones internacionales.

No se preveen.

11.1.4. Identificación y consulta a las personas afectadas por los tratamientos.

11.1.4.1. Personas y grupos afectados.

Identificación

Clientes

Empleados

Solicitantes de empleo

11.1.4.2. Conveniencia de informar y consultar. Al tratarse de datos obligatorios, tanto por normativa de Propiedad Horizontal, como por la relación laboral, en principio no se requiere ningún dato, uso o tratamiento especial, que requiera una consulta a los afectados.

Personas o colectivos afectados Recabar su opinión. Formato

Propietarios No es preciso -

Empleados No es preciso -

Solicitantes de empleo No es preciso -

11.1.4.3. Gestión de la consulta/información a las partes afectadas.

Momento en que se va a llevar a cabo la consulta, o se va a informar, o recabar la opinión: antes de iniciar la evaluación, durante la evaluación, en qué fases de ejecución del proyecto, etc.


Personas o colectivos afectados Fase consulta. Formato

Clientes - -

Empleados - -

Solicitantes de empleo - -

C=cuestionarios R=reuniones J=jornadas,

E=por escrito P=presencialmente T=telemáticamente W=vía “web”

11.1.5. Análisis de la necesidad de hacer la evaluación de impacto.

A continuación, y una vez evaluadas las características del tratamiento de datos en el proyecto, se completa la siguiente lista de chequeo:

Elementos a analizar Sí No

¿La autoridad de supervisión competente ha publicado una lista de tratamientos para los cuales se debe hacer la evaluación de impacto? Responder sólo en caso afirmativo. ¿El tratamiento objeto de evaluación se puede considerar incluido en esta lista?

X

¿La autoridad de supervisión competente ha publicado una lista de tratamientos que no se deben evaluar? Responder sólo en caso afirmativo. ¿Consideramos que el tratamiento no encaja claramente en ninguno de los supuestos de la lista?

X

¿Las operaciones de tratamiento implican una evaluación sistemática y amplia de aspectos personales relativa a personas físicas? X ¿Con las operaciones de tratamiento, se pueden determinar hábitos, comportamientos, preferencias, gustos, intereses, etc. de personas identificadas o identificables? X A todos los efectos, ¿podemos considerar que una de las finalidades del tratamiento es elaborar perfiles personales o predecir comportamientos? X A partir del tratamiento de los datos, ¿se toman decisiones con efectos jurídicos para las personas afectadas? X A partir del tratamiento de los datos, ¿se toman decisiones que pueden afectar significativamente o perjudicar de alguna manera las personas afectadas? X ¿Se tratan datos a gran escala de alguna categoría especial? X ¿El tratamiento implica un control sistemático, monitorización o supervisión a gran escala de áreas de acceso público? X

Elementos complementarios a analizar Sí No

¿La iniciativa o proyecto supone recoger datos de carácter personal que hasta ahora no se recogían? X ¿La iniciativa implica relacionar diferentes fuentes u orígenes de datos personales (cruzar información), que de alguna manera incrementen la capacidad de análisis de la información?

X

¿La información se ha sometido a un proceso de disociación o seudoanonimización? X ¿Los datos personales se comunicarán a organizaciones o personas que anteriormente no han tenido acceso? X ¿Se prevé utilizar información personal de la que se dispone, para finalidades o usos diferentes a los previstos inicialmente? X ¿La iniciativa que se tiene que evaluar implica el uso de tecnologías que se pueden percibir como especialmente intrusivas para la privacidad? X ¿Hay riesgos específicos para la seguridad de la información, especialmente un riesgo relevante de que terceros no autorizados accedan? X

¿Se han previsto transferencias internacionales de datos?

X Indicar el país importador de los datos (pueden ser varios):

¿Se tratan datos de personas menores de 18 años?

X


¿Se tratan datos de personas menores de [14] años?

X

Respecto del riesgo alto (criterios del WP 248) Sí No

¿El tratamiento implica la evaluación o scoring de personas? X ¿La finalidad del tratamiento es tomar decisiones de manera automatizada, con efectos jurídicos o efectos similares significativos para las personas? X ¿El tratamiento implica algún tipo de vigilancia sistemática? X ¿Se tratan categorías especiales de datos? X ¿Se tratan datos a gran escala? X ¿El tratamiento implica combinar diferentes fuentes de información o datos relacionados con tratamientos diversos? X ¿Se tratan datos relativos a personas en situación de vulneración o de desequilibrio respecto del responsable del tratamiento? EMPLEADOS. X ¿Las operaciones de tratamiento utilizan o aplican soluciones tecnológicas u organizativas de forma innovadora? X ¿Se hacen transferencias de datos fuera de la Unión Europea? X ¿El tratamiento puede impedir que las personas afectadas ejerzan un derecho o las limite de alguna forma? X ¿El tratamiento implica la evaluación o scoring de personas? X ¿La finalidad del tratamiento es tomar decisiones de manera automatizada, con efectos jurídicos o efectos similares significativos para las personas? X

11.1.5.1. Resultado del nivel 1 de análisis. El primer nivel de análisis consistirá en verificar si el tratamiento está incluido en alguna de las listas previstas en los artículos 35.4 y 35.5 del RGPD. Si no aparece en la lista de tipos de tratamiento excluidos, deberemos verificar si el tratamiento sobre el que estamos evaluando la necesidad de llevar a la EIPD está incluido en la lista de los que, a juicio de la autoridad de control, sí que requieren realizar la EIPD (art. 35.4), si es así, nuestro informe de necesidad recogerá tal circunstancia, y procederemos a iniciar la EIPD.

Ninguno de los tratamientos está incluido en las listas de incluidos o excluidos de obligatoriedad de realizar la EIPD.

11.1.5.2. Resultado del nivel 2 de análisis El segundo nivel de análisis se centrará en determinar si el tratamiento está incluido en los casos previstos en el art. 35.3. El art. 35.3 recoge 3 casos en los particularmente resultará obligatorio llevar a cabo la EIPD: 1) Cuando la finalidad sea la evaluación “sistemática y exhaustiva”, de carácter automatizado, de diversos aspectos de la persona, es decir, cuando se elaboren perfiles, y su alcance implique efectos de tipo jurídico, o que puedan afectar significativamente a las personas, como consecuencia de la toma de decisiones basadas en la información que es objeto de tratamiento: habrá que realizar la EIPD. 2) El segundo caso se refiere a la naturaleza del tratamiento, en tanto se van a tratar categorías especiales de datos a “gran escala”.


Ninguno de los tratamientos realiza una evaluación sistemática y exhaustiva de carácter automatizado, con implicaciones jurídicas para los afectados, por lo que en principio no hay obligatoriedad de realizar la EIPD, por este motivo.

3) Y al tercer caso también aplica la idea del tratamiento a gran escala, pero vinculado a la “observación” sistemática de zonas de acceso público, debemos interpretar el concepto de “observación” de manera amplia, equivaldría a “seguimiento”, por tanto no tiene por qué limitarse a los sistemas de videogivilancia, su alcance va más allá, incluyendo cualquier tratamiento que implique la monitorización de personas.

Ninguno de los tratamientos se realiza a gran escala, ni ejecuta una observación o

seguimiento sistemático de los afectados, por lo que en principio no hay obligatoriedad de realizar la EIPD, por este motivo.

11.1.5.3. Resultado del nivel 3 de análisis El tercer nivel tiene un carácter más amplio o generalista, se trata de un análisis sustentado en lo previsto en el art. 35.1 del RGPD, de tal modo que deberemos verificar los siguientes aspectos: La naturaleza del tratamiento: se trata de valorar las características esenciales del tratamiento, para verificar si podría suponer el alto riesgo a que hemos hecho referencia, por ejemplo:

Si de manera prioritaria se tratan categorías especiales de datos. Si se tratan datos a gran escala. Si se lleva a cabo un seguimiento exhaustivo de personas. Si se combinan diferentes conjuntos de datos (diversas fuentes de información). Si los datos se refieren a personas en situación de vulnerabilidad. Si la base de legitimación del tratamiento se sustenta en el interés legítimo.

Y cualquier otra circunstancia que forme parte intrínseca del tratamiento. El alcance del tratamiento: valoración de los efectos o consecuencias del tratamiento, hasta dónde puede llegar y si podría suponer un alto riesgo:

Toma de decisiones con efectos jurídicos. Decisiones en procesos competitivos. Valoración de riesgos crediticios. Exclusión de beneficios sociales o fiscales.

En definitiva, con independencia de la finalidad del tratamiento, qué efectos directos o indirectos puede tener sobre las personas.

El contexto del tratamiento: valoración del conjunto de circunstancias en que se van a llevar a cabo las operaciones de tratamiento, a fin de verificar si podrían suponer un alto riesgo:

El uso de nuevas tecnologías, o tecnologías emergentes. El uso de tecnologías especialmente invasivas para la privacidad. El uso de tecnologías que de manera inherente añadan riesgos. Diversos responsables de tratamiento. Complejas cadenas de encargados de tratamiento. La existencia de transferencias internacionales.

Y cualquier otra circunstancia en la que se lleven a cabo las operaciones de tratamiento y que pueda generar un riesgo relevante para los derechos y libertades de las personas.

Los fines del tratamiento: identificación de la finalidad del tratamiento, y si de la propia finalidad ya se deriva un riesgo significativo:


La toma de decisiones. La elaboración de perfiles. El análisis predictivo. La prestación de servicios relacionados con la salud. El seguimiento, control u observación de personas.

En definitiva, finalidades relevantes desde la perspectiva de la protección de los derechos y libertades de las personas.

Los tratamientos son lícitos, los datos son proporcionados y no excesivos, los usos se ajustan a las necesidades de tratamiento, las medidas de seguridad son adecuadas y los encargados cumplen con los principios y garantías del RGPD, por lo que en principio no hay motivos para la obligatoriedad de realizar la EIPD, por estos motivos.

11.1.6. Conclusiones y recomendaciones.

Se tratan datos personales, pero ninguno pertenece a una categoría especial, ni se da cualquier otra circunstancia relevante respecto de estos.

No hay ningún colectivo vulnerable afectado por ninguna de las actividades de tratamiento

del responsable.

No hay ninguna circunstancia que obligue la evaluación de impacto, y los tratamientos no conllevan un riesgo para los intereses, derechos y libertades fundamentales de los afectados.

Aunque no es obligatoria, no se recomienda que se lleve a cabo, pues supone un coste

desmedido para los tratamientos a realizar y no aporta mayor control o seguridad, que sea significativo.

Los tratamientos sólo manejan datos básicos de personas o colectivos afectados por las

operaciones, por lo que no se considera ni recomienda que deban ser informados, consultados, o recabada su opinión.

11.1.7. Valoración del riesgo.

Una vez finalizada la Evaluación de Impacto de Protección de Datos, de los tratamientos que el responsable quiere realizar, se valora el siguiente nivel de riesgo y consecuencia residual, con la siguiente escala:

Probabilidad

Improbable

Poco

probable Probable

Muy

probable Inminente

Se han previsto diversas medidas

Se ha previsto algunas medidas (más de 1)

Se ha previsto 1 única medida

No se han previsto medidas

Todas las medidas están Interpuestas

Algunas medidas están interpuestas

Las medidas no están interpuestas

No se ha producido el evento no deseado

Se ha dado algún caso de evento no deseado

Se han dado varios casos de eventos no deseados

Gravedad

Irrelevante

Poca

gravedad Grave

Significativa

mente grave

Extremadam

ente grave

No se deriva ningún daño ni perjuicio

Se deriva algún tipo de daño o perjuicio


La reparación del daño o perjuicio es difícil

El daño o perjuicio es de Imposible reparación No se priva de derechos o libertades

Se priva parcialmente de derechos y libertades

Se priva totalmente de derechos y libertades

Implica una deficiencia formal leve

Implica una deficiencia material leve

Incumplimiento de obligaciones materiales

Incumplimiento de obligaciones, derechos y principios

Medidas de fácil implantación

Existen medidas que se pueden implantar

Existen medidas de difícil implantación

Existen medidas que requieren esfuerzos desproporcionados

No existen medidas

Probabilidad Gravedad

Descripción Nivel Descripción Nivel

Inminente 5 Extremadamente grave 5

Muy probable 4 Significativamente grave 4

Probable 3 Grave 3

Poco probable 2 Leve 2

Improbable 1 Irrelevante 1

Tratamiento Riesgo residual

Probabilidad Gravedad Clientes Poco probable Leve

Clientes potenciales Poco probable Leve

Empleados Poco probable Leve

Agendas electrónicas Poco probable Leve

Solicitantes de empleo Poco probable Leve

La vulneración de los principios de confidencialidad, integridad y disponibilidad, respecto del

tratamiento de los datos de los afectados, es poco probable que ocurra y NO supone una grave consecuencia sobre sus intereses, derechos y libertades fundamentales.

Por todo ello, se considera que la EIPD, NO es necesaria, al no entrañar probablemente un alto

riesgo, los tratamientos realizados por el responsable o el encargado.

12. Autorización previa o consultas previas con APD.

De acuerdo con la valoración del riesgo residual, NO se precisa una consulta previa a la Agencia Española de

Protección de Datos, para que autorice el tratamiento.


13. Identificación de medidas de seguridad.

Para garantizar la calidad de los datos de carácter personal es preciso establecer los medios y

procedimientos necesarios para que los sistemas de información que los soportan, cumplan con los objetivos de Proporcionalidad, Confidencialidad, Integridad y Disponibilidad establecidos por la Normativa.

Es necesario identificar y controlar cualquier evento que pueda afectar negativamente a cualquiera de estos tres aspectos, así como definir e implantar las defensas necesarias para eliminar o reducir sus posibles consecuencias.

Para ello, utilizaremos métodos formales de análisis de riesgos que lo garanticen.

Un Sistema de Información es un elemento de gestión cada vez más importante, en la medida que la empresa incrementa su dependencia de ellos. Está compuesto por los Recursos Informáticos, considerados como el continente o soporte informático, y los Activos de Información, considerados como el contenido.

La Seguridad Informática permite compartir los Sistemas de Información de la empresa entre sus empleados, e incluso con terceros, pero garantizando su protección. La Seguridad tiene tres aspectos básicos que son esenciales para el crecimiento del negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa:

1. CONFIDENCIALIDAD: Protege los Activos de Información contra accesos o divulgación no autorizados.

2. INTEGRIDAD: Garantiza la exactitud de los Activos de Información contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.

3. DISPONIBILIDAD: Asegura que los Recursos Informáticos y los Activos de Información pueden ser utilizados en la forma y tiempo requeridos. Bajo el punto de vista de Seguridad, la disponibilidad se refiere a su posible recuperación en caso de desastre (Resiabilidad o Recuperabilidad), y no al concepto de Nivel de Servicio empleado en otras áreas.

Estos aspectos llevan implícitos los conceptos de Propiedad, Depósito y Uso, de los Recursos Informáticos y Activos de Información.

13.1. Privacidad desde el diseño y por defecto.

El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad (artículo 5.2) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).

Estas medidas de responsabilidad activa, se incluyen dentro de las que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando.

Este tipo de medidas reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales. OBLIGACIONES.

Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.


Los responsables deben adoptar medidas que garanticen que solo se traten los datos

necesarios (minimización) en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:

• El coste de la técnica. • Los costes de aplicación. • La naturaleza, el alcance, el contexto y los fines del tratamiento. • Los riesgos para los derechos y libertades.

A tenor del tipo de tratamiento que ha puesto de manifiesto cuando ha cumplimentado este

formulario, las medidas mínimas de seguridad mínimas que debería tener en cuenta son las siguientes:

MEDIDAS ORGANIZATIVAS

INFORMACIÓN QUE DEBERÁ SER CONOCIDA POR TODO EL PERSONAL CON ACCESO A DATOS PERSONALES

Todo el personal con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. Clasificación del personal afectado.

El personal afectado por esta normativa se clasifica en las siguientes categorías:

1. Director de Seguridad de la Información (CISO – Chief Information Security Officer) o Responsable de Privacidad, rol desempeñado a nivel ejecutivo, es el encargado de alinear la seguridad de la información con los objetivos de negocio, sirviendo al mismo tiempo de enlace con la Dirección del Responsable del tratamiento, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último. Deberá estar explícitamente relacionado en el Anexo E.1.

2. Administradores del sistema, encargados de administrar o mantener el entorno operativo

del sistema informático que gestiona los ficheros con datos de carácter personal objeto de tratamiento por parte del responsable. Este personal deberá estar explícitamente relacionado en el Anexo E.1, ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso de los usuarios normales.

3. Usuarios del sistema, o personal que usualmente utiliza el sistema informático de acceso a

los ficheros objeto de tratamiento, y que también deben estar explícitamente relacionados en el Anexo E.1.

4. Personal ajeno sin acceso a datos, que por motivo del desempeño de sus funciones puedan tener acceso a los datos del Fichero, pero sin autorización al tratamiento de los mismos. Estos pueden ser trabajadores de la limpieza, administración, vigilancia, empresa informática, etc.

Las normas aquí descritas son de obligado cumplimiento para todos ellos. Sin embargo, los administradores del sistema deberán además atenerse a aquellas normas, más extensas y estrictas, y que atañen, entre otras, al tratamiento de los respaldos de seguridad, normas para el alta de usuarios y contraseñas, así como otras normas de obligado cumplimiento en la unidad administrativa a la que pertenecen los usuarios del sistema.

FUNCIONES DEL PERSONAL

Funciones del responsable de seguridad


Es el encargado de coordinar y controlar las medidas definidas en el presente documento. Funciones de los administradores o personal informático

El personal que administra el sistema de acceso al Fichero se puede a su vez clasificar en varias categorías, que no necesariamente deberán estar presentes en todos los casos, siendo en algunas ocasiones asumidas por una misma persona o personas. Estas categorías son: - Administradores (Red, Sistemas operativos y Bases de Datos). Serán los responsables de los máximos privilegios y por tanto de máximo riesgo de que una actuación errónea pueda afectar al sistema. Tendrán acceso al software (programas y datos) del sistema, a las herramientas necesarias para su trabajo y a los ficheros o bases de datos necesarios para resolver los problemas que surjan. - Operadores (Red, Sistemas operativos, Bases de Datos y Aplicación). Sus actuaciones están limitadas a la operación de los equipos y redes utilizando las herramientas de gestión disponibles. No deben, en principio, tener acceso directo a los datos del Fichero, ya que su actuación no precisa de dicho acceso. - Mantenimiento de los sistemas y aplicaciones. Personal responsable de la resolución de incidencias que puedan surgir en el entono hardware/software de los sistemas informáticos o de la propia aplicación de acceso al Fichero.

- Cualquier otro que la organización establezca.

OBLIGACIONES DEL PERSONAL

Obligaciones del responsable de seguridad

El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable del fichero en la difusión del Documento de seguridad y cooperará con el responsable del fichero controlando el cumplimiento de las mismas.

Registro de incidencias

El responsable de seguridad habilitará un Libro o Registro de Incidencias a

disposición de todos los usuarios y administradores del sistema de tratamiento, con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

Analizara las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del tratamiento.

Obligaciones que afectan a todo el personal

Pacto de confidencialidad.

Todos los usuarios con acceso a los tratamientos de datos de carácter personal, de los que es responsable BODEGAS ARRAYAN, S.L. deben tener suscrito un pacto de confidencialidad, que les comprometa al resguardo de la información de carácter personal, obtenida durante su relación laboral y después de ésta, en cumplimiento de su deber de secreto. Véase Anexo B.2. Normas internas para los usuarios del sistema de información de la empresa.

Véase Anexo B.3.

Puestos de trabajo


Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado

que garantizará que la información que muestran no pueda ser visible por personas no autorizadas.

Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos

conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente

o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse de que no quedan documentos

impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los

puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.

Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una

configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo la autorización del responsable de seguridad o por administradores autorizados del Anexo E.1. Salvaguarda y protección de las contraseñas personales

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso

de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio. Gestión de incidencias

Cualquier usuario que tenga conocimiento de una incidencia es responsable de la

comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del tratamiento.

El conocimiento y la no notificación de una incidencia por parte de un usuario, será

considerado como una falta contra la seguridad del tratamiento por parte de ese usuario. Gestión de soportes

Los soportes que contengan datos de carácter personal, bien como consecuencia

de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.


Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

Los soportes que contengan datos del Fichero deberán ser almacenados en lugares

a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo E.1.

Régimen de trabajo fuera de los locales del responsable del fichero.

La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero o por el responsable de seguridad SIEMPRE POR ESCRITO y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado, según las normas descritas en el presente documento, ya sea por parte de personal de la empresa o ajenos subcontratados.

Tratamiento Se autoriza el tratamiento fuera de los

locales del responsable

Empleados ☒ Si. ☐ No.

Agendas electrónicas ☒ Si. ☐ No. Solicitantes de empleo ☐ Si. ☒ No. Clientes ☒ Si. ☐ No. Clientes potenciales ☐ Si. ☒ No.

Marque una de las dos opciones

Procedimientos administrativos

Todos los usuarios deben de conocer los procedimientos administrativos

corporativos de BODEGAS ARRAYAN, S.L. que les comprometa al resguardo de la información de carácter personal y cumplimentación de los requisitos de seguridad obligatorios (avisos, autorizaciones, consentimientos, notificaciones, ejercicio de derechos, etc), tanto para los datos automatizados como manuales (papel) y las consecuencias que pudieran incurrir en caso de incumplimiento.

Las presentes medidas responden a la obligación establecida en el artículo 32 del

Reglamento Europeo 2016/679 de 27 de abril de 2016, en el que se regulan las medidas de seguridad de los tratamientos que contengan datos de carácter personal.

Una copia de estos Procedimientos con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Tratamiento, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.

Solicitud telemática/telefónica de información de carácter personal.

Una vez registrados los datos de carácter personal en los tratamientos oportunos, cualquier consulta sobre dichos datos debería tratarse como un derecho de acceso, con el consiguiente procedimiento detallado más adelante. No obstante, si por operativa, en el afán de dar un servicio ágil de cara a clientes, no se exigen los requisitos detallados en dicho procedimiento de acceso, al menos se deben tener en cuenta los siguientes puntos:

Intentar asegurarse lo máximo posible de que quién solicita la información es el propio interesado o su representante legal.

o Solicitarle alguna prueba de autenticación (identificación del

teléfono móvil, correo electrónico, fax, carta, número de cliente,


domicilio, etc). o Pedir que la solicitud la haga por algún medio que deje constancia

de la misma (correo electrónico, fax, carta, SMS, etc.).

No dar datos completos, sobre todo en lo relativo a cuentas bancarias, números de tarjetas de crédito, etc.

Si por confidencialidad no se puede dar la información solicitada, informarle de cómo tiene que ejercer su derecho de acceso.

Remitir la información al interesado o su representante legal, a la dirección de contacto, por algún medio escrito (correo electrónico, fax, carta, SMS, etc.), y no darla por teléfono, salvo que se grabe la conversación, previo aviso al interlocutor.

Desechado de papel.

Todo papel u otro soporte físico (metacrilato, plástico, cartón, etc), que contenga datos de carácter personal, que vaya a ser desechado, deberá ser destruido de forma que la información sea ilegible, antes de ser arrojado al recipiente destinado para la basura. A tal efecto, el Responsable del fichero, facilitará a los usuarios la maquinaria necesaria, acorde al volumen de soportes a desechar, los cuales deberán utilizarla obligatoriamente. El incumplimiento de esta obligación será considerada una falta contra la seguridad del tratamiento.

El papel que se desee reciclar, no debe contener datos de carácter personal. De ser así debe ser destruido, no reutilizado, salvo que sea manipulado solamente por el personal autorizado a acceder a dichos datos.

Con respecto al correcto almacenamiento de la documentación que va a ser destruida, se deben seguir las siguientes recomendaciones:

Los documentos que vayan a ser eliminados deben estar protegidos hasta el momento de su destrucción física.

El lugar o los contenedores donde se almacenen los documentos que se vayan a eliminar requerirán medidas de seguridad eficaces frente a posibles intromisiones exteriores. No deben permanecer al descubierto en el exterior de los edificios. Tampoco deben amontonarse en lugares de paso, ni en locales abiertos.

Se deben guardar en locales o contenedores que dispongan de mecanismos de cierre que garanticen su seguridad.

El transporte, en su caso, hasta el lugar donde vaya a llevarse a cabo la destrucción debe garantizar que durante el traslado no se produzcan sustracciones, pérdidas ni filtraciones de información.

Todas las operaciones de recogida, carga y descarga de los documentos o sus contenedores, así como la conducción de los vehículos que los transportan, deben ser realizadas por personal debidamente autorizado y fácilmente identificable.

Los documentos deben ser llevados directamente al lugar donde esté prevista la destrucción, en vehículos cerrados que recorran el trayecto sin paradas ni interrupciones.

La destrucción debe ser inmediata y hacer imposible la reconstrucción de los documentos y la recuperación de cualquier información contenida en ellos.


Los documentos no deben depositarse en contenedores, al descubierto ni en paquetes, cajas o legajos, junto con el resto de los desechos. Siguen siendo perfectamente legibles y permanecen en la vía pública durante un tiempo indeterminado, al alcance de cualquier persona.

Entregarlos o venderlos como papel usado para su reciclaje, sin destrucción previa, tampoco es un método seguro. El receptor o comprador de papel usado normalmente realizará una selección, descartando lo que considere inútil, sin que el Responsable de los documentos sepa cuál será el destino del papel que no se considere apto para el reciclaje.

Por otra parte, puede almacenar intacto, durante un tiempo indeterminado y sin ninguna medida de seguridad, el material reciclable en espera de reunir una cantidad suficiente de papel de un mismo tipo o color.

El enterramiento de los documentos no supone la desaparición inmediata de la información. Antes al contrario, se ha comprobado que el papel se conserva más tiempo enterrado que si se dejase al aire libre.

La incineración acaba con la información, pero resulta peligroso para el entorno, puede perjudicar al medio ambiente e impide el reciclaje.

El método más adecuado es la trituración mediante corte en tiras o cruzado, previa a la venta para reciclaje. El papel se hace tiras o partículas, cuyo tamaño se elegirá en función del nivel de protección requerido por la información contenida en los documentos a destruir.

Envío de correo electrónico.

Firma.

Todos los correos electrónicos nuevos y de respuestas deben tener activada la firma (formato) que incluya el texto detallado en el Anexo A.2. De no ser así, hay que comunicarlo al responsable de administración para que el Servicio Técnico Informático lo subsane.

Ficheros adjuntos.

Cada vez que se vaya a adjuntar un archivo en un envío por correo electrónico a varios destinatarios hay preguntarse si la documentación incluye datos de carácter personal, y en caso afirmativo, evaluar si todos los receptores pueden tener acceso a esa información sin vulnerar el RGPD.

Correos múltiples.

Cada vez que se envía un correo electrónico a varios destinatarios hay que tener la precaución de incluir sus direcciones en la casilla “Con Copia Oculta” (CCO), ya que si se hace en “Para” o incluso en “Con Copia” (CC), como es frecuente en las clásicas cadenas por internet, estaremos permitiendo que cada uno de los receptores tenga a la vista el resto de direcciones de envío y por tanto vulnerando el RGPD.

Spam.

Si alguien ha ejercido su derecho de oposición o cancelación para no recibir información comercial, debe marcarse o borrarse de la agenda de contactos, o de la base de datos de donde se obtiene su dirección de correo electrónico, para que no se le envíe ningún otro con este tipo de información.

Recepción de Currículum Vitae.


El mero hecho de captar curriculums sin control sobre la información que contengan podría obligar a tener que implantar medidas de seguridad adicionales, con el consiguiente sobre costo innecesario, e incluso si no son suficientes y esto conlleva un riesgo alto para los intereses, derechos y libertades fundamentales de los interesados, tener que realizar una consulta previa a la Agencia Española de Datos, que puede llegar a denegar su tratamiento. Por ello, BODEGAS ARRAYAN, S.L., puede optar por:

o No admitir Currículums no solicitados.

o Facilitar el formulario de CV, del Anexo A.3 para candidatos, es decir, tomar el control sobre cuál es exactamente la información que se recopila y sobre la que se aplica el tratamiento, seleccionando aquellos datos que realmente son de interés para el proceso de selección de personal y manteniendo la precaución de que ninguno obligue innecesariamente a subir el nivel de seguridad del fichero.

o Recoger el CV:

Personalmente. Previo consentimiento del interesado, según formulario del Anexo A.4. Deberá rellenar sus datos y firmarlos por duplicado. Una hoja es para BODEGAS ARRAYAN, S.L., y la otra para el interesado.

Por correo electrónico / fax. Se responderá con un mensaje/fax con acuse de entrega y/o lectura, con el texto detallado en el Anexo A.5.

Los Currículums Vitae deben guardarse al menos durante 6 meses, pudiendo ser destruidos tras ese período, no antes.

Notificación de incidencias.

Cualquier violación, fallo o error en las normas y procedimientos de seguridad en el tratamiento confidencial de la información con datos de carácter personal, deben ser comunicados al Director de Seguridad de la Información, para su registro y subsanación.

Criterios de archivo de tratamientos manuales.

Se deberán garantizar:

La correcta conservación de los documentos.

Localización y consulta de la información.

Posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento,

El Responsable del Tratamiento, deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo de ficheros manuales, siempre y cuando no exista norma aplicable a los mismos.

Identificación de carpetas y archivadores.


Confidencial

Los lugares de almacenamiento de soportes manuales (papel u otros materiales) con datos de carácter personal, deben estar debidamente identificados. Dicha identificación debe ser clara y estar bien visible, indicando:

Área (por ej.: Archivo).

Tipo de información (por ej.: Nóminas 2018).

Nivel de confidencialidad (por ej.: Confidencial).

Personal autorizado (por ej.: Sólo personal RRHH).

Sólo se podrá acceder a la información para la que cada uno esté autorizado. El incumplimiento de esta norma será considerada una violación del pacto de confidencialidad acordado con la empresa.

Entrega de nóminas.

La entrega de los recibos de nóminas por parte de la empresa a los empleados, se hará siempre de forma individual en sobre cerrado, o en despacho uno a uno, de manera que la información de los mismos sólo sea accesible al interesado y al personal de Recursos Humanos.

Almacenamiento temporal.

Durante la manipulación de soportes manuales con datos de carácter personal, se colocarán en bandejas, cajones, en la mesa boca abajo, en sobres, etc., de manera que dicha información no esté visible a personal no autorizado que ocasionalmente pueda pasar por el puesto de trabajo, especialmente si el responsable del mismo debe ausentarse de él. Además está prohibido trasladar los soportes a áreas o departamentos ajenos a los responsables del tratamiento de la información correspondiente, o sacarlos de los locales de la empresa, sin la expresa autorización del Responsable de Seguridad o Jefe de Administración.

Política de mesas limpias.

Al abandonar el puesto de trabajo (descansos, pausa para comer o fin

de la jornada laboral), se dejará completamente libre de documentación, usando al efecto bien las cajoneras, bien los archivadores.

Creación de una nueva suscripción.

Es OBLIGATORIO si se le va a enviar publicidad de otros productos o se van a ceder sus datos a terceros, recabar el consentimiento del cliente, para el tratamiento de sus datos. El resguardo de inscripción, debidamente firmado por el interesado, debe archivarse junto con el expediente del cliente, pues hay que acreditar dicho consentimiento ante una inspección de la AEPD, y debe incluir el texto detallado en el Anexo A.6.

Envío de publicidad por mailing.

En cualquier publicidad que se haga llegar a los clientes, es preciso indicar dónde pueden dirigirse para ejercer sus derechos ARCO. Es preciso añadir el siguiente mensaje:

“BODEGAS ARRAYAN, S.L. es el responsable de tratamiento de los datos utilizados para la realización de esta campaña. Para ejercitar sus derechos de acceso, rectificación, cancelación u oponerse a que sus


datos se utilicen con fines de publicidad diríjase a BODEGAS ARRAYAN, S.L. en C/ DUQUE DE SEVILLA 14 28002 MADRID.”

MEDIDAS TÉCNICAS

Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá

realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, y prevéngase contra el mismo.

En la Oficina de Seguridad del Internauta (https://www.osi.es) el Instituto Nacional de Ciberseguridad pone a su disposición información y herramientas informáticas gratuitas que pueden ser útiles para garantizar la seguridad de los datos personales en ordenadores y dispositivos electrónicos.

Si se desea más información u orientaciones técnicas para garantizar la seguridad de los datos personales puede consultar la web www.incibe.es donde, entre otros documentos, podrá consultar el decálogo de ciberseguridad o el decálogo de buenas prácticas de seguridad en un departamento de informática donde encontrará los aspectos técnicos generales a tener en cuenta para la seguridad de la información de su empresa.

Centros de tratamiento y locales

Los locales donde se ubiquen los ordenadores con los que se realiza el tratamiento de datos, deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el tratamiento se realice a través de un servidor accedido a través de una red.

Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad de la información, que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas.

El acceso a los locales donde se encuentre el Centro de Proceso de Datos, deberá

estar restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico.

Acceso físico al S.I. El sistema informático se encuentra en: El sistema informático se encuentra ubicado en su totalidad en: las Oficinas de Madrid de BODEGAS ARRAYAN, S.L., sito en C/ Duque de Sevilla 14

28002 Madrid. Dicha oficina está en un edificio con portero automático, dispone de cierre metálico y puerta de cristal con cerrojo en el acceso a la calle, además de la puerta con llave de la oficina. Los puestos de trabajo están en las mesas del personal de administración de BODEGAS ARRAYAN, S.L., a las que se accede siempre en presencia del mismo.

Sistema antirrobo. Las instalaciones disponen de alarma con sensores volumétricos, de una firma nacional de reconocido prestigio. Tiene conexión con la central de alarmas para aviso a la Policía.

Sistema anti incendios. En cumplimiento de la normativa de seguridad, las instalaciones de BODEGAS ARRAYAN, S.L. están dotadas de : Extintores de incendios, debidamente ubicados y señalizados en sitios claramente

visibles y fácilmente accesibles.


Centro de Proceso de Datos. El CPD está en: Las oficinas, junto al resto de equipos informáticos de los usuarios.

Suministro eléctrico. Existe un circuito de suministro eléctrico independiente para todo el sistema informático, y el Centro de Proceso de Datos el cual es filtrado por un Sistema de Alimentación Ininterrumpido ON LINE, que garantiza un suministro constante y estabilizado, eliminando picos, microcortes y caídas de tensión que pueden ocasionar pérdidas de información y/o averías en los Recursos Informáticos y/o Activos de Información de los servidores.

Climatización. Todas las instalaciones se encuentran debidamente climatizadas, mediante aire acondicionado y calefacción por lo que la temperatura y humedad se encuentran en los rangos de correcto funcionamiento de los ordenadores y periféricos del sistema informático.

Acceso físico al archivador del tratamiento en papel (no automatizado). La copia impresa de los datos objetos del tratamiento, se encuentra en el almacén de administración, clasificada y archivada en las carpetas destinadas a tal efecto, las cuales están ubicadas en armarios cerrados con una llave custodiada únicamente por BODEGAS ARRAYAN, S.L. y a los cuales sólo tiene acceso el personal autorizado.

Destrucción de soportes. Las instalaciones disponen de una máquina destructora de papel, CDs, DVDs y tarjetas de plástico, de capacidad y potencia mediana.

Captación de imágenes con cámaras y finalidad de seguridad (Videovigilancia)

Ubicación de las cámaras.

Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores.

Ubicación de monitores.

Los monitores donde se visualicen las imágenes de las cámaras se ubicarán en un espacio de acceso restringido de forma que no sean accesibles a terceros.

Conservación de imágenes.

Las imágenes se almacenarán durante el plazo máximo de un mes, con excepción de las imágenes que sean aportadas a los tribunales y las fuerzas y cuerpos de seguridad.

Deber de información.

Se informará acerca de la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo donde mediante un pictograma y un texto se detalle el responsable ante el cual los interesados podrán ejercer su derecho de acceso. En el propio pictograma se podrá incluir el texto informativo. Véase Anexo A.7.

Control laboral.

Cuando las cámaras vayan a ser utilizadas con la finalidad de control laboral según lo previsto en el artículo 20.3 del Estatuto de los Trabajadores, se informará al trabajador o a sus representantes acerca de las medidas de control establecidas por el empresario con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras.

Derecho de acceso a las imágenes.


Para dar cumplimiento al derecho de acceso de los interesados se solicitará una fotografía reciente y el Documento Nacional de Identidad del interesado, así como el detalle de la fecha y hora a la que se refiere el derecho de acceso.

No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros. En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se facilitará un documento al interesado en el que se confirme o niegue la existencia de imágenes del interesado.

Puestos de trabajo

Son todos aquellos dispositivos desde los cuales se puede acceder a los tratamientos de datos, como, por ejemplo, Smartphones, terminales u ordenadores personales.

Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como, por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del tratamiento.

Cada puesto de trabajo estará bajo la responsabilidad de una persona de

las autorizadas en el Anexo E.1, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas.

Esto implica que tanto las pantallas como las impresoras u otro tipo de

dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse de que no quedan

documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Tratamiento, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

Queda expresamente prohibida la conexión a redes o sistemas exteriores

de los puestos de trabajo desde los que se realiza el acceso al tratamiento. La revocación de esta prohibición será autorizada por el responsable del tratamiento, quedando constancia de esta modificación en el Libro de incidencias.

Los puestos de trabajo desde los que se tiene acceso al tratamiento tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo la autorización del responsable de seguridad o por administradores autorizados del Anexo E.1:

Cortafuegos. Para las comunicaciones con el exterior, existe un software cortafuegos, que filtra las conexiones y bloquea intrusiones de virus informáticos, hackers y usuarios no autorizados.

Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.


Discos duros. Los ordenadores disponen de discos duros, donde se aloja el sistema operativo, las aplicaciones necesarias para el tratamiento de datos, así como los ficheros temporales que éstas precisan para su funcionamiento.

Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

Antivirus. El sistema tiene instalado un software antivirus de una firma de reconocido prestigio, en todos los puestos de trabajo, el cual se actualiza automáticamente a través de internet y filtra la actividad de los programas, comunicaciones y correo electrónico.

Salva-pantallas. Los salvapantallas de todos los ordenadores del sistema informático de BODEGAS ARRAYAN, S.L. están programados para saltar a los pocos minutos de inactividad, estando seleccionados en modo ‘inicio de sesión’, por lo que, para reanudar la actividad en los mismos, es preciso volver a autenticarse en el equipo. Con ello, se evita el acceso de personas no autorizadas, en caso de que se abandone momentáneamente cualquier puesto de trabajo.

Dispositivos móviles.

Terminales telefónicos móviles, tablets y Smartphones. Para acceder a dichos terminarles es preciso introducir un código PIN de seguridad o patrón de movimiento.

Entorno de Sistema Operativo y de Comunicaciones

Aunque el método establecido para acceder a los datos protegidos es el sistema informático del responsable del tratamiento, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otro ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.

Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de tratamiento.

El sistema operativo y de comunicaciones del tratamiento deberá tener al menos un responsable, que, como administrador deberá estar relacionado en el Anexo E.1.

En el caso más simple, como es que el tratamiento se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local monopuesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al Tratamiento.

Ninguna herramienta o programa de utilidad que permita el acceso al tratamiento deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo E.1.

En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del tratamiento, como los llamados "queries", editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de los administradores autorizados relacionados en el Anexo E.1.


El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los datos objetos de tratamiento, de forma que ninguna persona no autorizada tenga acceso a las mismas.

Si la aplicación o sistema de acceso al tratamiento utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

Si el ordenador en el que está ubicado el tratamiento está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso al Tratamiento, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas.

Sistema Informático o aplicaciones de acceso a los tratamientos.

Son todos aquellos sistemas informáticos, programas o aplicaciones con las que se puede acceder a los datos del tratamiento, y que son usualmente utilizados por los usuarios para acceder a ellos.

Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder al tratamiento, o sistemas preprogramados de uso general como aplicaciones o paquetes disponibles en el mercado informático.

Los sistemas informáticos de acceso al Tratamiento deberán tener su acceso restringido mediante un código de usuario y una contraseña.

Todos los usuarios autorizados para acceder al Tratamiento, relacionados en el Anexo E.1, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

Si la aplicación informática que permite el acceso al Tratamiento no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.

Salvaguarda y protección de las contraseñas personales

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.

Sólo las personas relacionadas en el Anexo E.1 podrán tener acceso a los datos del Tratamiento.

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.

El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema.

Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad, determinados en las Políticas de Seguridad (GPO) del controlador del dominio o sistema directriz.


IDENTIFICACIÓN

Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos

personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.

o Se recomienda disponer de perfiles con derechos de administración para la

instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

o Se garantizará la existencia de contraseñas para el acceso a los datos personales

almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras.

o Cuando a los datos personales accedan distintas personas, para cada persona con

acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).

o Se debe garantizar la confidencialidad de las contraseñas, evitando que queden

expuestas a terceros. Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

Gestión de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Tratamiento, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. El mantener un registro de las incidencias que comprometan la seguridad de un Tratamiento es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.

El responsable de seguridad de Tratamiento habilitará un Libro o Registro electrónico de Incidencias a disposición de todos los usuarios y administradores del Tratamiento con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro o Registro electrónico de Incidencias del Tratamiento o en su caso de la comunicación por escrito al responsable de seguridad o al responsable del Tratamiento.

El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Tratamiento por parte de ese usuario.

La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma. El formulario está descrito en el Anexo B.4.

Gestión de soportes


Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Tratamiento. Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs, son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del Tratamiento tiene el control de estos medios.

Los soportes que contengan datos del Tratamiento, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.

Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Tratamiento, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

Los soportes que contengan datos del Tratamiento deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Tratamiento que no estén por tanto relacionadas en el Anexo E.1.

La salida de soportes informáticos que contengan datos del Tratamiento fuera de los locales donde está ubicado el Tratamiento deberá ser expresamente autorizada por el responsable del Tratamiento. Utilizando para ello el documento adjunto en el ANEXO F.1.

En el caso de que la información de carácter personal en soporte papel, CD, DVD, tarjeta de plástico o cartón y en general, cualquier otro soporte manual vaya a desecharse, deberá ser destruido dicho soporte de manera que sea ilegible por personas no autorizadas.

Los dispositivos de almacenamiento de los soportes que contengan datos de carácter personal, deberán disponer de mecanismos que obstaculicen su apertura, siempre que sea posible. Cuando las características físicas de los dispositivos de almacenamiento no permitan adoptar las medidas antes descritas, el Responsable del Fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Gestión de respaldo y recuperación

La seguridad de los datos personales del Tratamiento no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Tratamiento.

Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo.

El respaldo se realizará en medios distintos de los del tratamiento habitual, pudiendo:


o Utilizarse unos u otros medios en función de su velocidad o coste, pero

siempre teniendo también en cuenta factores, como la fiabilidad en los procedimientos de recuperación o la permanencia de la información en el medio.

o Existir sistemas de redundancia de información en tiempo real que, mediante

un software o hardware, permiten ante situaciones de pérdida de información o desastre, una rápida y menos costosa recuperación de los mismos, al estado anterior.

Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos.

En caso de fallo del sistema con pérdida total o parcial de los datos del Tratamiento existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Tratamiento al estado en que se encontraban en el momento del fallo. Procedimiento de respaldo y recuperación.

Identificación Backup 1

Periodicidad Diaria

Ejecución Automática

Encargado Director de Seguridad de la Información

Conexión USB

Datos Ficheros del tratamiento

Destino Disco duro externo ‘Backup 1’

Custodia Encargado de tratamiento

La recuperación se realiza en una ubicación distinta de la del tratamiento original,

para evitar que se sustituya éste. Se procederá a verificar una vez permutados el original y la copia, que el sistema funciona correctamente y la información almacenada está hasta el momento de la realización de la copia de respaldo.

En caso de pérdida total de los soportes automatizados, existe una copia impresa del tratamiento, a partir de la cual se podría reconstruir la información manualmente.

El responsable del Tratamiento se encargará de verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos.

Seudonimización y anonimización.

Artículo 4.5 del Reglamento General de Protección de Datos, “seudonimización”: el

tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Aunque la información seudonimizada no permite la identificación directa del

interesado, ésta también es objeto de protección de la normativa en materia de protección de datos.

Hay que distinguir entre:

Anonimización: imposibilización de la vinculación del dato con la persona a la que hubiese identificado.


Seudonimizacion: limitación de la trazabilidad entre el conjunto de datos tratados y la persona física cuya identidad queda asociada a estos.

El proceso de seudonimización consiste en sustituir un atributo por otro en un registro,

de tal forma que a pesar de que siga existiendo la posibilidad de vincular a la persona física de manera indirecta con el conjunto de datos origen, se dificulta tal acción. Es de vital importancia para la eficacia de la seudonimización, la custodia de esta información adicional que permite vincular el dato seudonimizado con el titular del mismo.

Por su parte, la complejidad de reversión en este proceso dependerá de las técnicas utilizadas y de los atributos sustituidos. No obstante, siempre hay que tener en cuenta que una persona aún puede ser identificable a través de un conjunto de datos seudonimizados, por lo que los responsables del tratamiento deberán tomar medidas adicionales y más aún si lo que se pretende es anonimizar los datos, puesto que en estos casos se deberá garantizar que la identificación sea irreversible. Todo dependerá de la finalidad del tratamiento de los datos de carácter personal.

Según el Dictamen 05/2014 del Grupo de Trabajo sobre Protección de Datos de Carácter del artículo 29, de 10 de abril de 2014, las técnicas más relevantes serían:

1) Cifrado con clave secreta: El poseedor de la clave podrá descifrar el conjunto

de datos de carácter personal reidentificando al interesado fácilmente.

2) Función hash: Se trata de una técnica más robusta, ya que no es reversible. En este caso se parte de una función que devuelve un resultado de tamaño fijo a partir de un valor de entrada de cualquier tamaño. Eso sí, cabría la posibilidad, en caso de conocer el rango de los valores de entrada de la función hash, de pasar estos valores por la función con el fin de obtener un valor real de un registro determinado.

3) Función con clave almacenada: Se trata de un tipo de función hash que hace uso de una clave secreta a modo de valor de entrada suplementario. La ejecución de la función se podría reproducir con el atributo y la clave secreta.

4) Cifrado determinista o función hash con clave de borrado de clave: Esta técnica equivaldría a generar un número aleatorio a modo de seudónimo para cada atributo de la base de datos y, posteriormente, al borrado de la tabla de correspondencia.

5) Descomposición en tokens: Técnica que reemplaza los números de identificación de tarjetas por valores que son de poca utilidad para aquellos que quieran acceder de forma fraudulenta a los datos personales. Se basa en la aplicación de mecanismos de cifrado unidireccionales, o en la asignación, mediante una función de índice, de un número de secuencia o un número generado aleatoriamente que no derive matemáticamente de los datos originales.

Relación de tratamientos seudonimizados:

Tratamiento Seudonimizado Método (1-5)

Clientes No

Empleados No

Solicitantes de empleo No

Agendas electrónicas No

Cifrado de datos personales.

Tipos de cifrado. La normativa, tanto española como europea, permite los siguientes tipos de cifrado:


Cifrado convencional. Sistema profesional de cifrado robusto.

Alternativa al cifrado convencional. Cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros, como por ejemplo:

Esteganografía: a través de este sistema, el emisor oculta mensajes a nivel de aplicación para su envío en forma de imágenes por medio de diferentes vías electrónicas, incluida la satelital.

Spread-spectrum: el sistema de transmisión mediante espectro ensanchado permite el envío de mensajes ocultos para el caso inalámbrico a nivel físico.

Ámbitos de cifrado. El cifrado de los datos personales puede darse en tres ámbitos:

Medio de almacenamiento. Aquí cifraremos todo el dispositivo de almacenamiento de la información (disco duro), por lo tanto, sin conocer la clave de descifrado no podremos acceder a ninguna información contenida en él.

Carpetas o archivos. En este caso solo protegemos parte de la información almacenada, ya sea en la nube o en el disco duro. Solo serán ilegibles las carpetas o archivos que elijamos para el cifrado, el resto se podrá acceder normalmente.

Comunicaciones. "https", o lo que es lo mismo, el "HyperText Transfer Protocol Secure". Este

protocolo tiene entre sus misiones garantizar que la información enviada se mantenga confidencial e íntegra y asegurar que la persona a la que enviamos dicha información es quien realmente dice ser. El "https" se basa en el protocolo criptográfico SSL/TLS que cifra la información, de manera que un tercero que pudiera interceptar la comunicación, no fuera capaz de descifrar el contenido de la misma y que autentica a la persona física o jurídica a la que pertenece dicho sitio web.

Los datos sensibles deben ser cifrados, pero no solo estos, si no que se deben cifrar en función del

riesgo que entrañe para el afectado el descubrimiento de los datos personales por otra persona o empresa no autorizada.

La AEPD en su informe 494/2009 establece que para que el sistema de cifrado sea legal es necesario

que dicho sistema “no esté comprometido, es decir, que no se conozca forma de romperlo”. En este sentido, dice la AEPD que el cifrado de “archivos PDF o el realizado por WinZip tienen

vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades “.

Por tanto, no sería legal cifrar archivos utilizando las herramientas de proteger mediante contraseña los documentos PDF, Zip u otros análogos.

Aplicaciones de cifrado recomendadas.

AES Crypt

GnuPG

DiskCryptor

EncFS

Axcrypt

Cifrado Obligatorio. Según el RGPD será obligatorio cifrar los datos de carácter personal en los

siguientes casos:

Exista una normativa que lo exija.

Ley de Prevención de Blanqueo de Capitales.

Código Deontológico de la Abogacía Española.

Ley de Autonomía del Paciente.


Administraciones Públicas. Esquema Nacional de Seguridad, el RDL 3/2010 de 8 de enero.

Normativa PCI-DSS en el ámbito de pagos online (datos de tarjetas bancarias)

Adhesión a un Código de conducta.

Si el responsable o el encargado del tratamiento está adherido a un Código Tipo que regula las medidas de seguridad en su sector de actividad, y este Código exige el cifrado.

Se determina en la Evaluación de Impacto en la Protección de Datos.

Determinados responsables y encargados, por el tipo de tratamiento que realizan, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Estas empresas son, entre otras, las que tratan datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.

Hay que suprimir o reducir un riesgo.

Debe aplicarse la medida de cifrado si su implantación mitiga un riesgo cierto.

Cifrado voluntario. El cifrado es una de las medidas más adecuadas para mitigar los riesgos inherentes al tratamiento de datos de carácter personal de manera que se pueda mantener la seguridad.

Dada la evolución de las tecnologías de la información, es recomendable que se cifren los datos,

siempre que:

No sea demasiado gravoso.

Se quiera ser proactivo para la seguridad.

Se desee ser un ejemplo de privacidad para otras empresas del sector.

Se desee mostrar una imagen de confianza a los afectados.

Exención de notificación.

Aquellos responsables y encargados de tratamiento, que hayan implementado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, están exentos de notificar la brecha de seguridad a los afectados, ya que al estar protegida la información no hay peligro para los derechos de los usuarios.

En cambio, aquellos que no cifren están compelidos a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.

Relación de tratamientos cifrados:

Tratamiento Cifrado

Ficheros Medios Comunicaciones

Clientes No No No

Empleados No No No

Solicitantes de empleo No No No

Agendas electrónicas No No No


14. Verificación de las relaciones con los encargados de tratamiento.

En cumplimiento del artículo 28.3 del RGPD: “El tratamiento por el encargado se regirá por un contrato u otro

acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.”

A tal efecto todos los encargados de tratamiento, deberán suscribir el modelo de contrato detallado en el Anexo C.1, si en sus contratos de servicios no estipulan las cláusulas obligatorias para el cumplimiento del RGPD. También deberán remitir rellenado el formulario de cumplimiento del Anexo C.2.

De acuerdo con el artículo 28.1 del RGPD: “Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”, se observará el deber de diligencia, en la selección y contratación de los distintos encargados de tratamiento. Videovigilancia por una empresa de seguridad privada.

Es necesario mencionar que solo están legitimadas para instalar cámaras de video vigilancia las empresas de

seguridad privada que hayan cumplido los requisitos que señalaremos a continuación, dado que resulta prácticamente imposible obtener el consentimiento de todos aquellos que transiten en las comunidades de propietarios.

En primer lugar el tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada, que cumplan con los requisitos establecidos en la Ley 5/2014, de 4 de abril, de Seguridad Privada, que regula, según su artículo 1.1: 1. Esta ley tiene por objeto regular la realización y la prestación por personas privadas, físicas o jurídicas, de

actividades y servicios de seguridad privada que, desarrollados por éstos, son contratados, voluntaria u obligatoriamente, por personas físicas o jurídicas, públicas o privadas, para la protección de personas y bienes. Igualmente regula las investigaciones privadas que se efectúen sobre aquéllas o éstos. Todas estas actividades tienen la consideración de complementarias y subordinadas respecto de la seguridad pública.

2. El artículo 5.1 f) de la Ley 5/2014, de 4 de abril, de Seguridad Privada dispone que 1. Constituyen actividades

de seguridad privada las siguientes: f) La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia.

Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP) y modificado por el RD 195/2010, de 26 de febrero.

De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1. Para la efectiva puesta en funcionamiento de la medida, el artículo 9 Ley 5/2014, de 4 de abril, de Seguridad Privada dispone que “…los contratos de prestación de los distintos servicios de seguridad privada deberán, en todo caso, formalizarse por escrito y comunicarse su celebración al Ministerio del Interior o, en su caso, al órgano autonómico competente con antelación a la iniciación de los mismos”. El artículo 20 del RSP regula el procedimiento de notificación del contrato, la autoridad competente y el régimen aplicable a la contratación del servicio por las Administraciones Públicas y a supuestos excepcionales que exijan la inmediata puesta en funcionamiento del servicio.

Por último, el artículo 11 Ley 5/2014, de 4 de abril, de Seguridad Privada establece que:

Serán objeto de inscripción de oficio en el Registro Nacional de Seguridad Privada del Ministerio del

Interior, una vez concedidas las pertinentes autorizaciones o, en su caso, presentadas las declaraciones responsables, u obtenidas las preceptivas habilitaciones o acreditaciones, el personal de seguridad privada, las empresas de seguridad privada y los despachos de detectives privados, así como delegaciones y


sucursales, los centros de formación del personal de seguridad privada y las centrales receptoras de alarma de uso propio, cuando no sean objeto de inscripción en los registros de las comunidades autónomas. La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico.

En consecuencia, se debe contratar siempre una empresa de seguridad que:

Reúna los requisitos determinados en la Ley de Seguridad Privada. Esté autorizada siguiendo el procedimiento regulado en los artículos 4 y siguientes del

reglamento que la desarrolla. Se halle inscrita en el Registro de Empresas de Seguridad existente en el Ministerio del Interior.

De este modo, quedaría legitimado el tratamiento por la existencia de una norma con rango de Ley

habilitante el tratamiento al que se refiere el artículo 6.1 de la Ley Orgánica 15/1999, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado. En consecuencia, sólo será legítimo el tratamiento de las imágenes si en la instalación de las cámaras se han cumplido todos los requisitos antes expuestos.

15. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La responsabilidad proactiva, se refleja no sólo en la implantación de las medidas iniciales, sino que requiere

de un seguimiento constante, pues la privacidad debe ser un concepto permanente en la actividad del responsable del tratamiento.

Órganos de verificación, evaluación y valoración. Deberán estar constituidos por especialistas en privacidad y

personal ejecutivo del responsable, con capacidad de implantar o hacer llegar a la Dirección, las recomendaciones recogidas en los informes emitidos por los primeros.

Dicho comité estará compuesto por:

o Comité de seguridad del tratamiento. Responsable de seguridad del tratamiento. Responsable de IT. Responsable de Personal y RRHH. Gerencia. Responsable de seguridad del tratamiento del encargado.

Procedimiento de verificación. El comité deberá convocarse con la suficiente antelación, para que puedan asistir todos sus miembros, ya sea presencial o telemáticamente.

o Periodicidad. Ordinaria. Mínimo una vez cada 12 meses. Extraordinaria. Cuando se presente una situación que haga cambiar significativamente, la

situación de los datos de carácter personal tratados, ya sea por su contenido, destino, finalidad o método de tratamiento.

o Criterios. Se chequearán los siguientes puntos de control: Legitimación del tratamiento. Política de información. Política de seguridad. Análisis de riesgos. Evaluación de impacto. Registro de las actividades del tratamiento. Gestión de violaciones de la seguridad. Atención de los derechos del interesado. Certificado de cumplimiento.


16. Notificación de quiebras de seguridad.

Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL, como por ejemplo, el

robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Los responsables deben documentar todas las violaciones de seguridad.

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible.

El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

A TENER EN CUENTA

La valoración del riesgo de la quiebra es distinta del análisis de riesgos previo a todo tratamiento. Se trata de establecer hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede tener para los afectados puede causar un daño en sus derechos o libertades.

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

Puede haber casos en que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la complejidad en determinar completamente su alcance. En esos casos, es posible hacer la notificación con posterioridad, acompañándola de una explicación de los motivos que han ocasionado el retraso.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.


El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad

ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Procedimiento de Notificación y gestión de incidencias

Las incidencias se notificarán mediante comunicación verbal o por correo electrónico al responsable de seguridad, que una vez haya evaluado la gravedad y alcance de la misma, procederá a su registro y tomará las medida correctivas correspondientes, ya sea mediante su acción directa, o trasladando el aviso al Servicio de Asistencia Técnica responsable del mantenimiento del sistema informático, para que las resuelva él. El S.A.T. registrará en su HelpDesk, la incidencia y las acciones realizadas hasta su resolución, para su seguimiento.

En la notificación se hará constar :

Tipo de incidencia Fecha y hora en que se produjo Persona que realiza la notificación Persona a quien se comunica Efectos que puede producir la incidencia Descripción detallada de la misma:

la naturaleza de la violación

categorías de datos y de interesados afectados

medidas adoptadas por el responsable para solventar la quiebra

si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

Se adjunta el impreso de notificación manual que podrá ser utilizado para la notificación de incidencias Cuando ocurra una incidencia, el usuario o administrador deberá registrarla en el Libro de Incidencias o comunicarla al Responsable de seguridad para que a su vez proceda a su registro. Se mantendrán las incidencias registradas de los 12 últimos meses. El impreso de notificación manual que podrá ser utilizado para la notificación de incidencias se indica en el ANEXO B.4. Impreso de notificación de incidencias.


17. Códigos de conducta y esquemas de certificación.

Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento

podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del

Reglamento, como en lo que respecta a:

a) el tratamiento leal y transparente; 4.5.2016 L 119/56 Diario Oficial de la Unión Europea ES

b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

c) la recogida de datos personales;

d) la seudonimización de datos personales;

e) la información proporcionada al público y a los interesados;

f) el ejercicio de los derechos de los interesados;

g) la información proporcionada a los niños y la protección de estos, así como la manera de obtener el

consentimiento de los titulares de la patria potestad o tutela sobre el niño;

h) las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad

del tratamiento a que se refiere el artículo 32;

i) la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la

comunicación de dichas violaciones a los interesados;

j) la transferencia de datos personales a terceros países u organizaciones internacionales, o

k) los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las

controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los

derechos de los interesados en virtud de los artículos 77 y 79.

Inscritos actualmente en el Registro General de Protección de Datos a fecha de este documento.

Código Tipo de Fichero Histórico de Seguros del Automóvil (UNESPA). 2000

Código Tipo de Unió Catalana D’Hospitals (UCH). 2002

Código Tipo de Comercio Electrónico y Publicidad Interactiva (AUTOCONTROL – AECE - IAB SPAIN). 2002

Código Tipo de Odontólogos y Estomatólogos de España. 2004

Código Tipo Universidad de Castilla - La Mancha. 2004

Código Tipo de la Asociación Catalana de Recursos Asistenciales (ACRA). 2004

Código Tipo del Sector de la Intermediación Inmobiliaria. Asociación Empresarial de Gestión Inmobililaria (AEGI).

2004

Código Tipo Farmaindustria. 2009

Código Tipo del Fichero de Automóviles de Pérdida Total, Robo e Incendios (UNESPA). 2011

Código Tipo para el tratamiento de datos de carácter personal para establecimientos sanitarios privados de la provincia de Sevilla (REAL E ILUSTRE COLEGIO DE FARMACÉUTICOS DE SEVILLA).

2011

Código Tipo de protección de datos personales del fichero ASNEF PROTECCIÓN (ASNEF PROTECCIÓN).

2015

Código Tipo del tratamiento de datos de carácter personal aplicable al tratamiento de datos de la Oficina de Farmacia (Colegio de Farmacéuticos de Barcelona).

2015

Código Tipo para el tratamiento de datos de carácter personal (Asociación Nacional De Entidades De Gestión De Cobro - ANGECO).

2015

Código Tipo de protección de datos para Organizaciones Sanitarias. 2016

Código Tipo para las entidades locales adheridas a EUDEL (Asociación de Municipios Vascos – Euskadiko Udalen Elkartea)

2009

BODEGAS ARRAYAN, S.L. NO está adherido a ningún Código Tipo de conducta ni Esquema de Certificación.


ANEXO A.1. Formulario aviso a trabajadores.


C/ DUQUE DE SEVILLA 14 28002 MADRID

B88116330

Asunto: Información a los trabajadores de la EMPRESA. Fecha: ___ de _________________ de _____.

Muy Sr./Sra. Nuestro/a: En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y el Reglamento Europeo 2016/679 de 27 de abril de 2016, le informamos sobre sus datos de carácter personal:

a) La base legal para el tratamiento de sus datos es la formalización del contrato de trabajo conforme al Estatuto de los trabajadores y resto de normativa laboral.

b) Sus datos personales se conservarán durante toda la relación laboral, y una vez finalizada durante el plazo de

prescripción establecido en la normativa laboral y de seguridad social, siendo como mínimo de 4 años.

c) Son recabados con el fin de confeccionar su recibo de salarios, los boletines de cotización a la seguridad social y cumplir adecuadamente con las obligaciones fiscales y de todo orden derivadas de la relación laboral reflejada en su contrato de trabajo.

d) Serán incorporados al fichero NÓMINAS, PERSONAL Y RECURSOS HUMANOS, del que es responsable esta EMPRESA y que mantiene en el domicilio social. Las Asesorías: Beatriz Vaquero Argüelles y Ron Abogados, que colaboran con nosotros en la redacción de nóminas, recursos humanos, asesoramiento y representación laboral legal, tiene implantadas las medidas de seguridad necesarias para garantizar un uso adecuado y confidencial de sus datos conforme al contrato de Prestación de Servicios que tenemos suscrito con ellas. Para notificar cualquier cambio en sus datos de carácter personal que deba tenerse en cuenta para poder mantenerlos exactos y puestos al día de forma que respondan con veracidad a su situación actual o para tratar cualquier aspecto relacionado con su actividad laboral, deberá dirigirse a esta EMPRESA que a su vez dará traslado de la información a las Asesorías.

e) Los datos de los que usted es titular serán comunicados a :

Entidades financieras con las que trabaje esta EMPRESA con el fin de proceder al pago de su nómina.

A la Agencia Estatal de Administración Tributaria, SEPE (Servicio Público de Empleo Estatal) y Tesorería General de la Seguridad Social para el cumplimiento de obligaciones legales.

Al servicio ajeno de prevención de riesgos laborales, ASPY Prevencion, S.L.U., para el cumplimiento de obligaciones en materia de prevención y vigilancia de la salud.

A ASEPEYO MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL Nº 151, para el cumplimiento de obligaciones de la cobertura de los accidentes de trabajo y enfermedades profesionales.

A la compañía de seguros VIDACAIXA, S.A, para la cobertura del seguro de accidentes suscrito por la EMPRESA para todos sus trabajadores.

Otras entidades nacionales o extranjeras con las que ésta EMPRESA fuese sometida a una Auditoría ya sea de carácter contable, laboral o de privacidad.

Si desea recibir información distinta de la relacionada directamente con la relación laboral, así mismo podrán ser comunicados a otras empresas que ofrezcan productos o servicios que puedan resultar ventajosos para el trabajador por el hecho de pertenecer a ésta EMPRESA, sin perjuicio de su derecho a revocar el consentimiento a este tratamiento que otorgue ahora, cuando lo estime oportuno. Para dar su consentimiento a tal efecto, marque aquí.

f) No está prevista la toma de decisiones automatizadas o elaboración de perfiles.

g) No hay previsión de transferencias de datos a países terceros.


h) El control de presencia se podrá realizar con sistemas electrónicos con identificación por clave, tarjeta (código de barras y/o magnética y/o microchip) y/o biométrica (lectura huella dactilar y/o reconocimiento facial).

i) No obstante lo anterior, le recordamos que dispone de derecho de acceso, rectificación, cancelación y oposición al tratamiento de sus datos, conforme a la Normativa anteriormente citada, y que podrá ejercitarlos en el domicilio de la EMPRESA.

Asimismo, se recuerda al trabajador que los distintos medios de producción que se le facilitan para el ejercicio de su actividad, tales como INTERNET, Correo Electrónico, y teléfono se utilizarán exclusivamente para fines relacionados con la actividad de la EMPRESA y se le informa de que ésta podrá acceder y controlar su uso con respecto a la legislación vigente y en especial al art. 20 Estatuto de los Trabajadores que regula la “Dirección y Control de la Actividad Laboral” por parte del Empresario persona en quién éste delegue.

EL/LA TRABAJADOR/A LA EMPRESA Enterado/a y conforme Comunicado a l/a trabajador/a.

Fdo.:

DNI : ___________

Fdo.: BODEGAS ARRAYAN, S.L.


ANEXO A.2. Firma correos electrónicos

Le informamos que su dirección de correo electrónico, así como el resto de los datos de carácter personal aportados, serán objeto de tratamiento automatizado en nuestros ficheros, con la finalidad de gestionar la agenda de contactos de nuestra empresa y, para poder atender a sus peticiones de consulta vía electrónica. Vd. Podrá en cualquier momento ejercer el derecho de acceso, rectificación, cancelación y oposición en los términos establecidos en el Reglamento Europeo 2016/679 mediante notificación escrita con copia de DNI, a BODEGAS ARRAYAN, S.L. sita en C/ Duque de Sevilla 14 28002 Madrid. Please note that your e-mail address and all other personal information provided, will be processed automatically in our files, in order to manage contacts on our company and in order to meet their requests electronic consultation. You may at any time exercise the right of access, rectification, cancellation and opposition under the terms established in Regulation (EU) 2016/679 Of The European Parliament by written notice with copy of ID, to BODEGAS ARRAYAN, S.L. located at C/ Duque de Sevilla 14 28002 Madrid - Spain. Este mensaje se dirige a su destinatario y contIene información CONFIDENCIAL. Si no es usted el destinatario indicado, queda notificado de que está prohibida la utilización, divulgación, distribución y/o reproducción total o parcial de esta comunicación sin autorización expresa, en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. This message is entended exclusively for its addresses and may contain information that is CONFIDENTIAL & protected by professional privileges. If you are not the intended recipient you are here by notified that any dissemination, copy or disclosure of this communication is strictly prohibited by law. If this message has been received in error, please inmediately notify us via e-mail and delete it.


ANEXO A.3. Formulario de Currículum Vitae.

DATOS PERSONALES

Nombre y Apellidos: Dirección: Localidad: Teléfono: Email: Fecha de nacimiento: Estado Civil:

FORMACION Y ESTUDIOS

Fecha: Institución formadora: Titulación:

Fecha: Institución formadora: Titulación:

EXPERIENCIA PROFESIONAL

Fecha: Empresa: Puesto/Actividad desarrollada: Fecha: Empresa: Puesto/Actividad desarrollada:

DATOS COMPLEMENTARIOS

Idiomas: Conocimientos informáticos: Carnet de conducir, vehículo propio, disponibilidad geográfica... Todo lo expuesto anteriormente podrá ser acreditado, en caso de solicitud. Lugar y fecha

FOTO


ANEXO A.4. Recepción de Currículum Vitae.



B88116330

En cumplimiento del artículo 5 del Reglamento Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, le informamos que los datos de carácter personal que nos facilita serán serán objeto de tratamiento mixto (soporte electrónico y papel) por parte de BODEGAS ARRAYAN, S.L. para gestionar su currículum vitae como aspirante a trabajador de esta empresa, así como para contactar con usted cuando BODEGAS ARRAYAN, S.L. lo considere oportuno. BODEGAS ARRAYAN, S.L. entiende que los datos de carácter personal y la información que usted nos ha facilitado son suyos, exactos y ciertos. Por otro lado, si usted nos comunica datos especialmente protegidos que revelen la ideología, afiliación sindical, religión o creencias, así como referentes a origen racial, salud, minusvalías o vida sexual, de forma previa, le advertimos que de acuerdo con el artículo 16 de la Constitución Española, no está obligado a comunicarnos dicha información, y le rogamos que aunque hace la entrega de su currículum de forma voluntaria y consentida, se abstenga de comunicarnos datos de esta naturaleza. El incumplimiento por su parte de este requisito, ocasionará que sus datos no sean incluidos en el proceso de selección de personal y sean borrados y/o destruidos. Usted podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición en relación al tratamiento de sus datos en BODEGAS ARRAYAN, S.L., domiciliada en C/ Duque de Sevilla 14 28002 Madrid, en cualquier momento. Para ello, podrá dirigirse por escrito o personándose en BODEGAS ARRAYAN, S.L. No está prevista la toma de decisiones automatizadas o elaboración de perfiles. Finalmente le comunicamos que a partir de seis meses desde la fecha de recepción, se podría proceder a eliminar la información que usted haya enviado porque se considerase que ya no es vigente para un proceso de selección de personal. Para incorporar sus datos en nuestros procesos de selección, necesitamos su consentimiento expreso, por lo que es necesario que nos rellene y firme el siguiente texto de CONSENTIMIENTO :

CONSENTIMIENTO DE TRATAMIENTO DE DATOS DE CURRICULUM VITAE. D.\Dña. ______________________________________________________, con DNI_______ _____________ da su consentimiento libre, expreso e inequívoco a BODEGAS ARRAYAN, S.L. para que sus datos personales incluidos en el Currículum Vitae, que usted voluntariamente proporciona, sean tratados en los procesos de selección de personal de BODEGAS ARRAYAN, S.L. Asimismo, declara haber sido informado de la existencia y finalidad del tratamiento, así como de los Procedimientos de Acceso, Rectificación, Cancelación y Oposición de BODEGAS ARRAYAN, S.L. En__________________________, a _____ de __________________ de 20___


ANEXO A.5. Recepción de Currículum Vitae por e-mail.

En cumplimiento del artículo 5 del Reglamento Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, le informamos que los datos de carácter personal que nos facilita serán recogidos en un fichero propiedad de BODEGAS ARRAYAN, S.L. Sus datos serán registrados para gestionar su currículum vitae como aspirante a trabajador de esta empresa, así como para contactar con usted cuando BODEGAS ARRAYAN, S.L. lo considere oportuno. BODEGAS ARRAYAN, S.L. entiende que los datos de carácter personal y la información que usted nos ha facilitado son suyos, exactos y ciertos. Por otro lado, si usted nos comunica datos especialmente protegidos que revelen la ideología, afiliación sindical, religión o creencias, así como referentes a origen racial, salud, minusvalías o vida sexual, de forma previa, le advertimos que de acuerdo con el artículo 16 de la Constitución Española, no está obligado a comunicarnos dicha información, y le rogamos que aunque hace la entrega de su currículum de forma voluntaria y consentida, se abstenga de comunicarnos datos de esta naturaleza. El incumplimiento por su parte de este requisito, ocasionará que sus datos no sean incluidos en el proceso de selección de personal y sean borrados y/o destruidos. Usted podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición en relación al tratamiento de sus datos en BODEGAS ARRAYAN, S.L., domiciliada en C/ Duque de Sevilla 14 28002 Madrid, en cualquier momento. Para ello, podrá dirigirse por escrito o personándose en BODEGAS ARRAYAN, S.L. No está prevista la toma de decisiones automatizadas o elaboración de perfiles. Finalmente le comunicamos que a partir de seis meses desde la fecha de recepción, se podría proceder a eliminar la información que usted haya enviado porque se considerase que ya no es vigente para un proceso de selección de personal.


ANEXO A.6. Consentimiento tratamiento de datos de clientes.


Responsable BODEGAS ARRAYAN, S.L.

Finalidad Gestión administrativa, fiscal y contable de los productos y servicios contratados.

Gestionar la agenda de contactos de nuestra empresa.

Atender a sus peticiones de consulta vía electrónica.

Legitimación Ejecución de un contrato.

Destinatarios Empresas de logística para la entrega de los productos contratados. Entidades financieras para el cobro de los productos y servicios contratados. No hay previsión de transferencias de datos a países terceros.

Derechos







Códigos o claves de identificación.

Direcciones postales o electrónicas.

Información comercial.

Datos económicos. No se tratan datos especialmente protegidos. No está prevista la toma de decisiones automatizadas o elaboración de perfiles.

Usted reconoce haber leído y entendido la finalidad de los datos facilitados y autoriza expresamente a que BODEGAS ARRAYAN, S.L., pueda enviarle información sobre:

☐Si.

☐ No.

Productos, servicios y comunicaciones de cortesía de BODEGAS ARRAYAN, S.L.



☐Si. ☐ No. Productos, servicios y comunicaciones de cortesía del grupo de empresas de BODEGAS ARRAYAN, S.L.


☐Si.

☐ No.

Newsetter del grupo de empresas de BODEGAS ARRAYAN, S.L.



☐Si.

☐ No.

Correo electrónico.

☐Si. ☐ No. SMS.



☐Si.

☐ No.

WhatsApp u otra mensajería electrónica instantánea


En Madrid, a ___ de _______________ de 20___.

Fdo.: ___________________________________


ANEXO A.7. Zona Videovigilada.

ZONA VIDEOVIGILADA

REGLAMENTO GENERAL PROTECCIÓN DE DATOS 2016/679

LAS IMÁGENES SE CONSERVARÁN POR UN PERÍODO MÁXIMO DE 30 DÍAS.

PUEDE EJERCITAR SUS DERECHOS ANTE:




ANEXO A.10. Consentimiento tratamiento de imagen de trabajador.



B88116330


Responsable BODEGAS ARRAYAN, S.L. (en adelante LA EMPRESA)

Finalidad Inclusión de la imagen del trabajador en medios impresos y electrónicos de presentación y promoción corporativa.

Legitimación Interés legítimo.

Destinatarios Empleados, clientes en firme y potenciales de la empresa. No hay previsión de transferencias de datos a países terceros.

Derechos



Hasta renovación del contenido y forma de los medios electrónicos corporativos, inclusive una vez terminada la relación laboral con la empresa, hasta un máximo de 5 años y los previstos por la legislación respecto a la prescripción de responsabilidades.



Imagen.

Nombre y apellidos.

Cargo o puesto en la empresa. No se tratan datos especialmente protegidos. No está prevista la toma de decisiones automatizadas o elaboración de perfiles.

Dña./D. ____________________________________________________, MAYOR DE EDAD, con D.N.I_____________, reconoce haber leído y entendido la finalidad de los datos facilitados y autoriza voluntaria y expresamente a que BODEGAS ARRAYAN, S.L., pueda utilizar su imagen como su empleado, para ser mostrada o divulgada públicamente de manera total o parcial, junto con su nombre, cargo, titulación y/u otro interés que motive el interés de su realización, en medios impresos y electrónicos de presentación y promoción corporativa, y promoción, motivación e incentivación laboral en:

☐Si.

☐ No.

Página web corporativa de la empresa.

☐Si. ☐ No. Redes sociales donde figure la empresa como usuario.

☐Si. ☐ No. Newsetter de la empresa.

☐Si. ☐ No. Blog de su página web corporativa.

☐Si. ☐ No. Revistas impresas o digitales especializadas del sector de actividad de la empresa.

☐Si. ☐ No. Tablón público de empleado del mes.


Usted cede expresamente a LA EMPRESA todos los derechos de imagen que pudieran corresponderle como consecuencia de su emisión, así como de los reportajes gráficos, individuales o colectivos que realicen en el ámbito establecido en el párrafo anterior, y autoriza de forma expresa a LA EMPRESA a conservar las mencionadas imágenes gráficas para ser utilizadas total o parcialmente, en los medios que considere conveniente, durante un período de 5 años.

Lo que firmo a los efectos oportunos. En Madrid a _____ de ________________ de 20__

Fdo.: Dña./D. ____________________________________


ANEXO A.11. E-mail solicitud consentimiento a clientes antiguos.

Estimado cliente:

De acuerdo con el Reglamento Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, que será de obligado cumplimiento desde el 25 de mayo de 2018, necesitamos su consentimiento, para que a partir de dicha fecha, podamos seguir enviándole por correo electrónico, la información comercial que ponemos a su disposición.

Para que dicho consentimiento sea efectivo, es preciso que contesten a este correo, poniendo en el asunto o en el principio del cuerpo, el texto ‘CONSIENTO’, entendiéndose que con dicha respuesta, usted autoriza, libre, informada, explícita e inequívocamente, a que BODEGAS ARRAYAN, S.L. , como responsable del tratamiento de sus datos de carácter personal, le remita la información comercial por los medios que en ambos casos marque como ‘Si’, de las siguientes opciones que le ofrecemos:.

☐Si. ☐ No. Productos, servicios y comunicaciones de cortesía de BODEGAS ARRAYAN, S.L.



☐Si. ☐ No. Productos, servicios y comunicaciones de cortesía del grupo de empresas BODEGAS ARRAYAN, S.L.


☐Si. ☐ No. Newsetter del grupo de empresas de BODEGAS ARRAYAN, S.L.



☐Si. ☐ No. Correo electrónico.

☐Si. ☐ No. SMS.



☐Si. ☐ No. WhatsApp u otra mensajería electrónica instantánea.

☐Si. ☐ No. Redes sociales.


A partir de dicha fecha y hasta que usted nos remita su consentimiento, no se le comunicará ningún tipo de

información Comercial. Le informamos que en cualquier momento puede ejercer sus derechos de acceso, rectificación, oposición, cancelación, limitación de tratamiento, olvido y portabilidad de datos, mediante escrito firmado por usted, junto con fotocopia de su DNI a BODEGAS ARRAYAN, S.L., sita en C/ DUQUE DE SEVILLA 14 28002 MADRID, o por correo electrónico a [email protected]


ANEXO A.13. E-mail comunicando interés legítimo a clientes antiguos.

Estimado cliente:

De acuerdo con el Reglamento Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, que es de obligado cumplimiento desde el 25 de mayo de 2018, le informamos que sus datos seguirán siendo objeto de tratamiento automatizado por nuestra parte, en base a la base legitimadora ‘interés legítimo’, para:

a) Mejorar sus expectativas e incrementar su grado de satisfacción como cliente al desarrollar y mejorar la calidad

de productos y servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de mercado que puedan resultar de interés.

b) Comunicaciones de cortesía, tipo felicitación por aniversario, desearle felices fiestas o simplemente un buen día.

c) Invitarle a eventos que puedan ser de su interés.

El tratamiento durará hasta cuando usted nos indique que ya no desea recibir dicha información comercial, o ya no sean necesarios para tal fin. Una vez hayan pasado los plazos previstos por la legislación respecto a la prescripción de responsabilidades, que con carácter general son 10 años, se suprimirán con medidas de seguridad adecuadas para garantizar la seudonimización de los datos o la destrucción total de los mismos.

Le informamos que en cualquier momento puede ejercer sus derechos de acceso, rectificación, oposición, cancelación, limitación de tratamiento y portabilidad de datos, mediante escrito firmado por usted, junto con fotocopia de su DNI a BODEGAS ARRAYAN, S.L., sita en C/ Duque De Sevilla 14 28002 Madrid, o por correo electrónico a [email protected].


ANEXO B.1. Política de Seguridad Informática.



B88116330

Tomando como base los mismo fundamentos que rigen la normativa de Seguridad Informática y de Telecomunicaciones, y con el objeto, tanto de desarrollar una labor eficaz de promoción de la Seguridad Informática, como de diseñar la estrategia de la efectiva implantación de la Seguridad en todos los niveles jerárquicos, BODEGAS ARRAYAN, S.L. ha desarrollado la Política de Seguridad Informática que será aplicable a todos sus trabajadores e instalaciones, comprometiéndose al cumplimiento de los siguientes principios: 1. La protección de la Información Corporativa y los Recursos Informáticos necesarios para crearla, mantenerla y

usarla, ha de ser una constante del quehacer cotidiano para todos los que trabajamos en BODEGAS ARRAYAN, S.L., y especialmente del de aquellos que, en uno u otro nivel y en uno u otro puesto de trabajo, ejercen funciones de mando.

2. Debido a que consideramos que la Información Corporativa, es el Activo Informático más importante de nuestra

empresa, esta Dirección quiere establecer una política preventiva que vaya hacia un modelo de Seguridad Informática científica, integral, integrada y participativa.

3. Basándonos en el principio de que todas las amenazas y vulnerabilidades, pueden y deben ser evitadas, la

empresa se compromete a alcanzar un alto nivel de Seguridad Informática en el trabajo, no limitándose solamente a cumplir la legislación vigente en la materia, sino llevando a cabo acciones que eleven el grado de protección de sus Recursos Informáticos y Activos de Información marcado por la ley si ello fuera necesario.

Este compromiso será expresado de forma manifiesta, y será uno de los puntos esenciales marcados en la política general de la empresa.

4. La línea de mando asumirá y potenciará la integración de la Seguridad Informática en el proceso de producción y

administración, estableciendo como principio básico que la mejor productividad se consigue con la mayor seguridad, pues no se debe olvidar que la conservación de los Recursos Informáticos y Activos de Información, constituye un elemento fundamental para la continuidad de negocio y disminución de costes, y la confidencialidad de dichos Activos, algo vital para conseguir los objetivos estratégicos de BODEGAS ARRAYAN, S.L.

5. En aras a promover una conducta segura en las actividades desarrolladas, se aportará a los trabajadores toda la

información existente sobre los riesgos informáticos inherentes a su trabajo, así como la formación necesaria sobre los medios y medidas a adoptar para su correcta prevención.

6. De igual manera, se promoverá la participación de todos los trabajadores en las cuestiones relacionadas con la

Seguridad Informática de la empresa, por ser ellos los que conocen con mayor profundidad los pormenores de las tareas que realizan, y por lo tanto son los más indicados para aportar ideas sobre la manera más segura de llevarlas a cabo.

7. Para lograr una eficaz implantación de la Política de Seguridad Informática en BODEGAS ARRAYAN, S.L., se

asignarán los recursos necesarios y se planificará de manera adecuada la utilización de los mismos. Finalmente, es compromiso firme de esta empresa el integrar la Seguridad Informática en la estructura organizativa de la empresa, a fin de lograr que la Seguridad Informática no sea ajena a la organización productiva, pretendiendo así más que el mero cumplimiento de determinados requisitos de carácter básicamente documental.


ANEXO B.2. Pacto de confidencialidad para empleados.



B88116330

Pacto anexo al Contrato de Trabajo suscrito entre BODEGAS ARRAYAN, S.L. (en adelante LA EMPRESA), y D/ña. _________________________________, mayor de edad, con DNI Nº ___________ (en adelante EL TRABAJADOR).

ANTECEDENTES: El TRABAJADOR manifiesta conocer y aceptar que por razón de los servicios prestados en la EMPRESA tendrá acceso a información y documentación confidencial (que en ocasiones estará marcada como tal y en otras no, pudiendo incluso transmitirse alguna información verbalmente) tanto de ella, como de sus clientes. EL TRABAJADOR manifiesta también conocer y aceptar que en el sector en que desarrolla sus actividades la EMPRESA mantener la confidencialidad de dicha información y documentación es un elemento esencial, y que, por ello, no respetar dicha confidencialidad causa un perjuicio gravísimo a la EMPRESA y/o a sus clientes.

POR TODO ELLO, el TRABAJADOR se obliga frente a la EMPRESA a:

1.- Información Confidencial.

Mantener la más estricta confidencialidad y no revelar, difundir, publicar o utilizar, para fines ajenos a la EMPRESA, la información de carácter técnico, comercial, estratégico, financiero y/o de cualquier otro tipo que se lea suministrada por la EMPRESA y/o sus clientes, en cualquier forma por razón de su prestación de servicios de la misma.

La información antes referida incluye los siguientes tipos de información (conste por escrito o no), sin que la presente enumeración excluya otras clases de informaciones también confidenciales: técnicas, programas de formación, tests, investigación y desarrollo, ideas invenciones, conceptos, diseños, dibujos, organigramas, procesos, procedimientos, “know-how”, fórmulas, datos, programas, mejoras, descubrimientos, materiales y técnicas de marketing, planes de investigación y desarrollo, marketing, nuevos productos, nombres de clientes, canales de comercialización y secretos comerciales y cualquier otra información relacionada con clientes y proveedores, listas de precios, políticas de precios, política de ventas, información financiera, presupuestos, plantillas y métodos de gestión y contabilidad.

La obligación descrita en este apartado se aplicará tanto a la información propia de la EMPRESA y/o sus clientes, o califique como Información Confidencial, tanto si es propiedad de la EMPRESA y/o sus clientes o no, o ha sido desarrollada por la EMPRESA y/o sus clientes o no, como a aquella información que haya sido facilitada por sociedades, personas o entidades integradas en su mismo Grupo y/o por terceros.

2.- Información de carácter Personal.

Mantener la más estricta confidencialidad y no revelar, ceder, difundir, publicar o utilizar Información de Carácter Personal, para fines ajenos al desarrollo de su actividad profesional en la EMPRESA, de conforme con:

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Reglamento de Medidas de Seguridad, aprobado en el Real Decreto 1720/2007, de 21 de diciembre,

Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.

el TRABAJADOR, como encargado del tratamiento o administrador de Datos de Carácter Personal de la EMPRESA y/o sus clientes.


3.- Pacto de Confidencialidad.

Mantener la obligación de confidencialidad prevista en los apartados anteriores, durante la vigencia de su relación laboral con la EMPRESA y desde la finalización del contrato de trabajo por cualquier causa, incluso por despido, aunque el mismo se declarase improcedente.

4.- Derechos de Propiedad.

Reconocer como propiedad de la EMPRESA todos los datos, conocimientos de cualquier clase puestos a su disposición, materiales de referencia, anotaciones, esquemas, dibujos, memorándums, documentación o grabaciones en cualquier forma y soporte, que incorporen o reflejen cualquier Información Confidencial.

5.- Devolución de información.

Facilitar la devolución a la EMPRESA, al dejar el puesto de trabajo, de toda la información Confidencial y, en general documentación relativa a las actividades de la EMPRESA y/o sus clientes, que haya utilizado durante su relación laboral con la misma.

6.- Colaboración.

Colaborar y asistir a la EMPRESA en su defensa contra cualquier infracción de sus derechos de propiedad intelectual, industrial o cualquier vulneración de sus secretos Empresariales. Este compromiso comportará también la obligación de informar debidamente a la EMPRESA en caso de que el TRABAJADOR tenga conocimiento de que tal infracción o vulneración se ha producido o se está produciendo.

_________________________, a ___ de _________________ de _____.

El TRABAJADOR La EMPRESA


ANEXO B.3. Normas internas para los usuarios del sistema de

información de la empresa.



B88116330

1. PROPIEDAD Y USO DE LOS EQUIPOS INFORMÁTICOS.

BODEGAS ARRAYAN, S.L. (en adelante LA EMPRESA) facilita a sus empleados el equipamiento informático necesario para la realización de las tareas relacionadas con su puesto de trabajo. Este equipamiento es propiedad de LA EMPRESA y no está destinado a ningún tipo de uso personal.

El departamento de informática, será el responsable de definir la configuración hardware y software de los puestos de trabajo y administrar los accesos a la red corporativa.

Los usuarios deben cumplir las medidas de seguridad establecidas por su organización para el uso de los ordenadores personales y la red corporativa.

No está permitido alterar la configuración física de los equipos ni conectar otros dispositivos a iniciativa del usuario, así como variar su ubicación.

No está permitido alterar la configuración software de los equipos, desinstalar o instalar programas o cualquier otro tipo de software distinto a la configuración lógica predefinida (incluidos fondos de escritorio, salva-pantallas, y demás elementos de aspecto del Sistema Operativo), tanto si el software es legal, de distribución gratuita o de propiedad personal.

No está permitida la conexión de ordenadores (fijos o portátiles) no autorizados a la red corporativa.

La copia de seguridad periódica de los datos alojados en los servidores corporativos es responsabilidad de los servicios de informática. Cada usuario será responsable de la integridad y copia de seguridad de la información almacenada en el ordenador que tenga asignado.

Los ordenadores portátiles, tabletas, teléfonos móviles y smartphones, tienen la misma consideración de puestos de trabajo y se rigen por estas mismas normas. El uso al que están destinados y la posibilidad de que estos equipos se utilicen fuera del entorno de seguridad de la red corporativa de LA EMPRESA hacen necesarios procedimientos de seguridad específicos en relación con autenticación (uso obligatorio de contraseñas, identificación biométrica o esquemas de identificación), actualización de los sistemas antivirus y del software instalado.

Tanto Internet, como las líneas telefónicas, como las cuentas de correo electrónico o cualquier otro método o sistema de telecomunicación, así como los medios de impresión (Impresoras, faxes, fotocopiadoras,…) facilitados por LA EMPRESA a sus empleados, independientemente del dispositivo en el que se usen, se destinan única y exclusivamente para el uso profesional en cumplimiento de sus obligaciones y deberes laborales. La EMPRESA podrá controlar su utilización al objeto de verificar el cumplimiento por el trabajador, de dichas obligaciones y deberes laborales.

Se establecerán medidas de protección adicionales que aseguren la confidencialidad de la información almacenada en el equipo cuando el usuario del mismo así lo solicite o cuando se trate de datos de carácter personal que requieran de las medidas de seguridad establecidas por la legislación vigente.

2. RED CORPORATIVA.

La red corporativa es un recurso compartido y limitado. Este recurso sirve solo para el acceso de los usuarios internos de LA EMPRESA a Internet, bases de datos, documentos, aplicaciones corporativas y distintos servicios que se ofrezcan desde LA EMPRESA.

La utilización de internet debe limitarse a la obtención de información relacionada con el trabajo que se desempeña como personal de LA EMPRESA, debiendo por lo tanto evitarse toda utilización que no tenga una mínima relación con las funciones del puesto de trabajo de usuario, o que pudiera conducir a una mejora en la calidad del trabajo desarrollado. Está prohibido:

o El uso de programas de compartición de contenidos (peer-to-peer), habitualmente utilizados para la descarga de archivos de música, vídeo, etc. (Emule, Kaaza, µTorrent, etc.).

o La visualización o escucha en streaming, de videos, música, radio, etc., no relacionados con el cumplimiento de la actividad laboral.


o El uso de videoconferencia, mensajería instantánea y chats no relacionados con el cumplimiento de la actividad laboral.

Se considera el correo electrónico como un instrumento básico de trabajo. El acceso al correo se realizará mediante una identificación consistente en un usuario y una contraseña. Dicha identificación deberá seguir las mismas directrices que las planteadas para el acceso al sistema informático y las aplicaciones.

Todos los correos que se emitan tendrán el formato establecido por la empresa. Deben contener como mínimo:

El nombre del trabajador/a, el departamento y la empresa en la definición de la cuenta de correo en el campo “Nombre para mostrar”.

La firma del correo con identificación del remitente, departamento, empresa y correo electrónico.

La coletilla al final del correo facilitada a cada usuario.

Está prohibido el uso de cuentas de correo electrónico personales de otros dominios que no son de la empresa (Gmail, Hotmail, Yahoo, etc), salvo autorización expresa de la empresa.

Se minimizarán los envíos masivos de información así como los que se destinen a gran número de usuarios que puedan provocar un colapso del sistema de correo, o su inclusión no deseada en listas de correo anti-spam.

El usuario deberá comprobar que su antivirus se actualiza con regularidad. En caso contrario deberá comunicarlo al servicio de Informática para que tome las medidas oportunas. Deberá también realizar un escaneo periódico de sus unidades de disco, para comprobar que se encuentran libres de virus.

El primer antivirus es el sentido común. No deben abrirse enlaces web, anexos ni ficheros sospechosos o de los que no se conozca su procedencia.

Está prohibido utilizar, copiar o transmitir información contenida en los sistemas informáticos para uso privado o cualquier otro distinta del servicio laboral al que está destinada.

No está permitido copiar la información contenida en el sistema de información en los que se almacenan datos de carácter personal o confidencial, a cualquier soporte (informático -USB o discos externos por ejemplo-, o no –listados en papel), sin autorización expresa del Responsable del tratamiento (o persona designada a tal efecto), ni extraerla de las oficinas.

Es obligatorio comunicar al Responsable de seguridad las incidencias de seguridad de las que tenga conocimiento, tanto propias como del Sistema de Información.

3. ACCESO A APLICACIONES Y SERVICIOS: USUARIOS Y CONTRASEÑAS.

Gran parte de los procedimientos administrativos se gestionan en la actualidad accediendo desde ordenadores personales a aplicaciones que residen en servidores conectados a la red corporativa.

Tanto el acceso al ordenador como a las distintas aplicaciones corporativas será identificado (mediante usuario y contraseña, u otro mecanismo) y previamente autorizado por el responsable correspondiente.

La custodia de la contraseña es responsabilidad del usuario. Nunca debe utilizarse el nombre de usuario asignado a otra persona. Las contraseñas no deben anotarse, deben recordarse. Las contraseñas deben cambiarse periódicamente.

Los usuarios disponen de mecanismos para modificar la contraseña de acceso siempre que lo consideren conveniente. Esto garantiza el uso privado de las mismas.

Cuando se considere que la identificación de acceso se ha visto comprometida se deberá comunicar al responsable correspondiente.

Al abandonar el puesto de trabajo temporalmente, deben bloquearse las sesiones con las aplicaciones establecidas, y apagar los equipos al finalizar la jornada laboral, salvo indicación expresa del departamento de informática.

En el caso de aplicaciones que contengan datos protegidos por la normativa vigente en materia de privacidad, hay que atenerse además a las medidas de seguridad particulares fijadas en el documento de seguridad del tratamiento y en particular existe la prohibición de copiar la


información al ordenador personal, disquetes o cualquier otro soporte sin autorización expresa del responsable del tratamiento.

El usuario debe guardar todos los soportes físicos que contengan información con datos de carácter personal en un lugar seguro, cuando éstos no sean usados, particularmente fuera de la jornada laboral.

El usuario debe asegurarse de que no quedan documentos impresos que contengan información confidencial impresos en la bandeja de salida de la impresora, ni en sitios accesibles por personal ajeno a la empresa (mostrador, mesas donde se realicen reuniones o se reciban visitas).

Utilizar la destructora de papel, para destruir listados y resto de documentación no precisa u obsoleta.

No reutilizar el papel que contenga datos de carácter personal (modelos AEAT, listados, etc.).

Política de mesas limpias. Al abandonar el puesto de trabajo (descansos, pausa para comer o fin de la jornada laboral), se dejará completamente libre de documentación, usando al efecto bien las cajoneras, bien los archivadores.

4. INCUMPLIMIENTO.

Se considera incumplimiento de las normas de uso de los Recursos Informáticos de LA EMPRESA además de la violación de los puntos anteriores, los supuestos siguientes:

Los usos ilícitos por parte de terceras personas, de cuentas de usuarios (usuario/contraseña) en los sistemas informáticos (con conocimiento o no de los usuarios oficiales), tanto por quien realiza el acceso indebido como por el responsable de la cuenta, así como, el incumplimiento de los términos de licencias del software genérico adquirido por LA EMPRESA.

La búsqueda de palabras clave de otros usuarios o cualquier intento de encontrar y explotar fallos en la seguridad de los sistemas informáticos de LA EMPRESA, o hacer uso de aquellos sistemas para atacar cualquier sistema informático.

La creación, uso o almacenamiento de programas o de información que pueden ser utilizados para atacar los sistemas informáticos de LA EMPRESA, salvo aquellas personas expresamente autorizadas a realizar dichas labores conducentes a garantizar la seguridad y operatividad de los servicios de LA EMPRESA.

Introducción intencionada de virus, caballos de Troya, gusanos, bombas de tiempo, robot de cancelación de noticias o cualquier otro software perjudicial o nocivo.

El destrozo, sustracción o el traslado no debidamente autorizado a otras dependencias, de cualquier elemento físico de la instalación informática o de la infraestructura complementaria.

La alteración de la integridad, uso o manipulación indebida de los datos.

El uso indebido de los servicios de LA EMPRESA (correo electrónico, emulación de terminal, mensajería interactiva, www, etc.) para comunicarse con otros usuarios de los sistemas informáticos de la Red de LA EMPRESA o a las redes que LA EMPRESA está conectada, cuando causen:

o Actividades ilícitas o ilegales de cualquier tipo y, particularmente, difundir contenidos o propaganda de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo o atentatorio contra los derechos humanos, o actuar en perjuicio de los derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas.

o Difusión de contenidos atentatorios contra los principios empresariales, éticos y morales de LA EMPRESA.

o Suplantaciones de direcciones de la red.

o Recopilación de información sobre terceros incluidas sus direcciones de correo electrónico sin su consentimiento.

o Creación de identidades falsas con el fin de engañar a terceros respecto de la identidad del remitente o del origen del mensaje.

o Utilizar los medios de la red con fines propagandísticos y comerciales, sin autorización expresa.


o Difusión de manifestaciones o referencias falsas, incorrectas o inexactas sobre las páginas y los servicios de LA EMPRESA. Quedan excluidas las opiniones de todo tipo en relación con LA EMPRESA.

No mantener los Recursos Informáticos bajo su responsabilidad con las medidas de seguridad necesarias.

5. INSPECCIÓN.

Entre las tareas de administración para una óptima funcionalidad del Sistema de Información de LA EMPRESA, es responsabilidad del departamento de informática o encargado externo de su mantenimiento:

El control del consumo del ancho de banda de las líneas. Existen herramientas que ante situaciones de saturación de las líneas de comunicación, proporcionan información acerca del consumo de recursos, historial de navegación por internet y registro de comunicaciones, por equipo y usuario.

La limpieza de malware, mediante herramientas antivirus, antispyware y limpieza-optimización del Sistema Operativo. El uso de dichas herramientas puede hacer necesario el acceso a los ficheros del equipo/usuario y su correo electrónico.

El administrador del Sistema de Información, restablecerá la contraseña del usuario por una temporal para acceso a su equipo. Una vez finalizada la tarea de mantenimiento, se comunicará dicha contraseña al usuario, para que proceda a restablecer la suya personal.

Si bien estas acciones serán notificadas al usuario y se realizarán siempre que sea posible en presencia del mismo, puede ser que por la gravedad de la incidencia y ante un alto riesgo para el Sistema de Información de LA EMPRESA, las mismas deban realizarse urgentemente sin la asistencia de éste, lo que será debidamente justificado y documentado en el informe correspondiente. En cualquier caso, si fruto de cualquiera de estas inspecciones se detectara una vulneración de las presentes normas por parte del usuario, las pruebas obtenidas serán válidas para la aplicación de las medidas detalladas en el siguiente punto.

6. MEDIDAS A APLICAR.

El incumpliendo de esta normativa será considerada FALTA LABORAL GRAVE, y en cualquier grado podrá comportar de forma preventiva la inmediata suspensión del servicio prestado y/o el bloqueo temporal de dispositivos, sistemas, aplicaciones, accesos, cuentas o redes de LA EMPRESA , con el fin de garantizar el buen funcionamiento de los servicios informáticos de LA EMPRESA.

7. RECONOCIMIENTO.

D/ña. _________________________________, mayor de edad, con DNI Nº ___________, como usuario de los Recursos Informáticos de LA EMPRESA, reconozco haber leído y entendido este documento y declaro:

Que me comprometo a utilizar éstos recursos para un uso exclusivo de las labores propias de LA EMPRESA, de acuerdo con las instrucciones que se indican en cada caso.

Que conozco la normativa de seguridad para los usuarios de los Recursos Informáticos de LA EMPRESA y acepto cumplirla en todos sus términos.

Que, en cualquier caso, me comprometo a cumplir las instrucciones y las normas de aplicación dictadas por LA EMPRESA y los que se establezcan con carácter general por la legislación vigente.

Que autorizo al administrador de Recursos Informáticos, a la realización de cuantas acciones/operaciones técnicas sean necesarias sobre los Recursos Informáticos usados por el abajo firmante para garantizar la seguridad y buen funcionamiento de los Servicios que los mismos proporcionan a LA EMPRESA.

En ______________________, a ___ de _________________ de _____.

El Empleado La EMPRESA

Fdo.: _________________________________ Fdo.: BODEGAS ARRAYAN, S.L.


ANEXO B.4. Impreso de notificación de incidencias

Incidencia nº: 20xx-xx

Fecha de notificación:

Tipo de incidencia:

Descripción detallada de la incidencia:

Fecha y hora en que se produjo la incidencia:

Persona(s) que realiza(n) la notificación:

Persona(s) a quien(es) se comunica:

Efectos que puede producir:

Medidas adoptadas para remediar la violación de seguridad:

Medidas adoptadas para mitigar los efectos de la incidencia:

Medidas adoptadas para evitar que se repita la violación de seguridad:

Persona que realiza la comunicación:

Fdo.:


ANEXO C.1. Contrato de prestación de servicios actuando como

encargado del tratamiento de datos de carácter personal.

En Madrid, a __ de _____________de 20__. R E U N I D O S

De una parte: D/ña. MARÍA MARSANS ASTORECA, mayor de edad, con D.N.I. nº ____________, con domicilio a estos efectos en el de la sociedad que representa, interviniendo en su calidad de ___________________________ de la mercantil denominada BODEGAS ARRAYAN, S.L., en adelante, el RESPONSABLE DEL TRATAMIENTO.

Y de otra parte: D/ña. REPRESENTANTEENCARGADO, mayor de edad, con D.N.I. nº ________________,

con domicilio a estos efectos en el de la sociedad que representa, interviniendo en su calidad de Gerente de la mercantil denominada NOMBREENCARGADO, en adelante, el ENCARGADO DEL TRATAMIENTO.

C O M P A R E C E N

El primero en nombre y representación de BODEGAS ARRAYAN, S.L. domiciliada en C/ DUQUE DE SEVILLA 14 28002 MADRID, con CIF __________ y el segundo en nombre y representación de NOMBREENCARGADO domiciliada en DOMICILIOENCARGADO, con CIF __________. Ambas partes se reconocen plena capacidad para otorgar el presente contrato y a tal fin:

E X P O N E N

I.- Que BODEGAS ARRAYAN, S.L. es responsable del tratamiento de fichero/s de datos de carácter personal, que

ha obtenido y trata legítimamente, manifestando que toda la información contenida en el/los mismo/s es conforme a la Legislación vigente, y en concreto a la Normativa Reguladora de Protección de Datos de Carácter Personal en lo que ésta le sea de aplicación:

Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos (RGPD, en lo sucesivo).

II.- Que responsable y encargado declaran conocer las obligaciones establecidas en dicha Normativa. III.- Que NOMBREENCARGADO es una Sociedad que se dedica a ________________

__________________________________________________________________ _________________________________________________________________.

IV.- Que BODEGAS ARRAYAN, S.L. está interesada en que NOMBREENCARGADO le preste los servicios

comentados en el expósito anterior.

V.- Que es necesario el acceso y gestión por parte del encargado a los datos de carácter personal que tutela el responsable del tratamiento, y con el fin de protegerlos y dar cumplimiento a lo establecido en la Normativa Vigente, ambos contratantes suscriben el presente contrato de prestación de servicios como encargado de tratamiento, conforme a las siguientes:

C L A U S U L A S

PRIMERA. – Objeto.

El tratamiento que el encargado realizará para el responsable del tratamiento consistirá en: __________________________________________________________________ _________________________________________________________________.


Concreción de los tratamientos a realizar ( Incluido, Excluido):

Recogida Supresión Comunicación por transmisión Estructuración Comunicación Interconexión Conservación Registro Limitación Consulta Modificación Destrucción Difusión Extracción Otros:

Cotejo

El presente contrato tiene por objeto establecer las condiciones conforme el encargado del tratamiento, durante la prestación de los Servicios, realizará el tratamiento de los ficheros titularidad del responsable del fichero.

Las partes reconocen que el encargado de tratamiento podrá tener acceso a dichos ficheros que

contienen datos de carácter personal, para la prestación de los servicios contratados y a tal efecto el responsable del tratamiento, pone a disposición del encargado del tratamiento, la información que se describe a continuación:

Tipos de datos personales tratados:

Datos de empleados del responsable: identificativos, características personales, circunstancias sociales, detalles de empleo, económico –financieros y de seguros.

Datos de representantes legales del responsable: Identificativos, detalles de empleo.

Datos de clientes del responsable: identificativos, información comercial, económico – financieros y de seguros, transacciones de bienes y servicios.

Datos de proveedores del responsable: identificativos, información comercial, económico –financieros y de seguros, transacciones de bienes y servicios.

Datos de contactos del responsable: identificativos, económico - financieros y de seguros.

Categorías de interesados:

Las categorías de interesados cuyos datos serán tratados por el encargado de tratamiento en virtud

de este contrato son las siguientes (márquese una cruz donde proceda):

☐ Empleados ☐ Clientes ☐ Proveedores

☐ Personas de contacto ☐ Candidatos ☐ Solicitantes

☐ Representantes legales ☐ Otros ___________________________

SEGUNDA. - Tipo de acceso a datos y soportes por el encargado.

El responsable del tratamiento autoriza al encargado del tratamiento a realizar el tratamiento de sus

ficheros con datos personales en las ubicaciones y con los recursos:

Oficinas del responsable del tratamiento y el encargado del tratamiento.

Sistema informático del responsable del tratamiento y el encargado del tratamiento.

Acceso presencial y acceso telemático por escritorio remoto.

El responsable declara conocer la existencia del documento de seguridad del encargado, estimando las medidas técnicas y organizativas contenidas en él, suficientes para garantizar la seguridad de los datos de carácter personal de los que es responsable; así como para evitar su alteración, pérdida o tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana del medio físico o natural.

El encargado de tratamiento declara haber adoptado las medidas de seguridad necesarias para el

tratamiento de los ficheros a los que tenga acceso del responsable del tratamiento, según las instrucciones de su Documento de Seguridad.


El responsable podrá pedir del encargado la acreditación del cumplimiento de las medidas de

seguridad.

TERCERA.- Tratamiento.

El encargado del tratamiento utilizará los datos del responsable del tratamiento, única y exclusivamente para llevar a cabo la prestación de servicios objeto de este contrato y dentro de la Legislación vigente, sin que pueda cederlos a terceros, ni para su conservación, salvo con el consentimiento expreso del responsable del tratamiento o los supuestos legalmente admisibles. En todo caso el encargado del tratamiento cumplirá con lo dispuesto en el RGPD y el RGPD.

El encargado del tratamiento únicamente tendrá acceso a aquellos datos de carácter personal que el responsable del tratamiento le proporcione y procederá a su tratamiento, no constituyendo, en ningún caso, dicho acceso cesión o comunicación de los datos, ni siquiera a efectos de su conservación, sino que se trata únicamente de una simple entrega de los mismos exclusivamente a los efectos de dar cumplimiento al contrato de servicios suscrito.

El encargado del tratamiento como encargado del tratamiento se compromete a tratar los datos de acuerdo con las instrucciones que el responsable del tratamiento le proporcione en el tiempo y la forma oportunos, y no utilizar los datos para finalidades diferentes a las expresamente mencionadas en el presente contrato.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD, el RGPD

o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al responsable del tratamiento

Tanto el responsable del tratamiento como el encargado del tratamiento se comprometen, en función de la naturaleza de los datos, a adoptar las medidas de índole técnica, y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, cumpliendo con lo establecido en la Normativa vigente, detallada en el expósito del presente contrato.

El encargado se compromete a no copiar o reproducir la información facilitada por el responsable, salvo cuando sea necesario para su tratamiento y en los términos previstos en el presente contrato.

El encargado del tratamiento se compromete a comunicar y a hacer cumplir a sus empleados y colaboradores, tanto internos como externos, asignados a la prestación de servicios objeto de este contrato, las obligaciones establecidas en los apartados anteriores, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. Para el acceso a los equipos y a los sistemas de información propiedad del responsable del tratamiento, todos deberán estar debidamente acreditados y perfectamente instruidos en cuanto a sus obligaciones de seguridad y a las consecuencias de su incumplimiento.

El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la

documentación acreditativa e información necesaria, para demostrar el cumplimiento de sus obligaciones en materia de protección de datos personales, garantizará la formación necesaria en dicha materia de las personas autorizadas para tratar dicho tipo de datos, y permitirá la realización de las auditorías o las inspecciones que realicen el responsable del tratamiento u otro auditor autorizado por él.

El encargado del tratamiento auxiliará al responsable del tratamiento en la implantación de las medidas de seguridad necesarias para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.


d) Seudonimizar y cifrar los datos personales, en su caso.

El encargado del tratamiento se obliga a guardar secreto profesional respecto de todos los datos de carácter personal que conozca y a los que tenga acceso durante la realización del presente contrato. Igualmente, se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero ajeno al presente contrato. Las anteriores obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del encargado del tratamiento y subsistirá aún después de terminados los tratamientos efectuados en el marco del presente contrato.

Derechos de los interesados.

El encargado del tratamiento se obliga a dar traslado por correo electrónico a la dirección [email protected], al responsable para su resolución, de manera inmediata y sin dilación, y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para su resolución, de las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados, establecidos en el capítulo III del RGPD:

Acceso a datos personales. Rectificación. Supresión (derecho al olvido). Limitación del tratamiento. Portabilidad de datos. Oposición. A no ser objeto de decisiones individualizadas automatizadas.

(incluida la elaboración de perfiles). que éstos ejerciten ante el encargado. Derecho de información.

Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. Destino de los datos.

El encargado del tratamiento se obliga a devolver al encargado que designe por escrito el responsable del tratamiento una vez cumplida la prestación contractual, cualquier soporte o documento en que consten los datos de carácter personal. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación.

El encargado del tratamiento podrá conservar una copia de los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

CUARTA.- Subcontratación.

El encargado de tratamiento se compromete a no realizar ninguna cesión de los Datos y a no

subcontratar el servicio a ninguna empresa o particular, salvo que tal cesión fuese imprescindible para la efectiva prestación del servicio en cuyo caso el encargado de tratamiento, solicitará por escrito, la autorización previa del responsable del tratamiento, que podrá otorgar o denegar dicha autorización.

El encargado podrá sustituir al mencionado subcontratista con la mera comunicación del nuevo

proveedor al responsable. El encargado del tratamiento de acuerdo con el RGPD, observará en todo momento su deber de

diligencia, a la hora de seleccionar y contratar el subcontratista, de manera que éste cumpla con los


requisitos administrativos, técnicos y materiales suficientes, para la prestación del adecuado tratamiento de los datos personales y la garantía de los derechos de las personas afectadas.

El encargado se compromete a trasladar las instrucciones obrantes en el presente contrato de

encargado del tratamiento, al subcontratista, que también tendrá la condición de encargado del tratamiento, estando obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable.

En cualquier caso, entre el encargado del tratamiento y el subcontratista deberá existir un contrato

de encargado del tratamiento, que regula el acceso a datos por parte de éste último a los efectos de los artículos 12 LOPD, 21 y 82 RLOPD y 28.3 RGPD, que como mínimo contemple los mismos términos y condiciones del presente contrato. En caso de incumplimiento por el subcontratista, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento, en lo referente al cumplimiento de las obligaciones del subcontratista.

QUINTA.- Notificación de incidencias de seguridad.

El encargado del tratamiento notificará al responsable del tratamiento las violaciones de seguridad

de los datos, sin dilación indebida y a través de la dirección de correo electrónico que se le indique, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad

constituya un riesgo para los derechos y las libertades de las personas físicas. Se facilitará como mínimo, la siguiente información:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) Nombre y datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El encargado del tratamiento responderá directamente ante la Agencia de Protección de Datos de los incumplimientos que se pudieran derivar de las cláusulas anteriores.

SEXTA.- Duración.

El presente contrato entra en vigor a la fecha de su firma y estará vigente hasta la fecha de terminación de la relación de prestación de los Servicios por parte del encargado a favor del responsable.

SEPTIMA. - Responsabilidades.

Las obligaciones establecidas para el encargado en el presente documento serán también de

obligado cumplimiento para sus empleados y colaboradores, tanto externos como internos, por lo que el encargado responderá frente al responsable del tratamiento si tales obligaciones son incumplidas por sus empleados o colaboradores, aceptando indemnizar, mantener indemne y defender al responsable del tratamiento a su cargo, por todos los costes, reclamaciones, daños o gastos incurridos por el encargado de tratamiento o para los que el responsable del tratamiento puede llegar a ser responsable por este motivo,


en la que no se incluyen costes de defensa jurídica, indemnizaciones a terceros, ni sanciones impuestas por la Agencia Española de Protección de Datos o por cualquier otra autoridad administrativa o judicial.

En el caso de que el encargado destinara los datos a finalidades distintas a las previstas en el

presente contrato, los comunicara a terceros o los utilizara incumpliendo las estipulaciones del presente contrato, será considerado responsable del tratamiento de datos de carácter personal y deberá responder de cualesquiera consecuencias que pudieran derivarse de tales conductas, debiendo mantener indemne al responsable del tratamiento por cualquier reclamación de terceros fundada en dicho incumplimiento.

Asimismo, en el caso de que el responsable del tratamiento fuera condenado o sancionado en

cualquier forma como consecuencia de actuaciones realizadas por el encargado de tratamiento, y la sanción hubiere podido evitarse de haber sido respetadas las normas, medidas de seguridad y procedimientos en él establecidos, el encargado de tratamiento responderá frente al responsable del tratamiento de los daños causados, de la sanción impuesta, de las costas incurridas, y de todas las consecuencias que se derivaren de la misma.

En ningún caso el responsable del tratamiento será responsable de sanciones, indemnizaciones,

pérdidas, costes u otros gastos derivados del incumplimiento o negligencia en las obligaciones a las que el encargado de tratamiento esté obligado como encargado del tratamiento de los datos y prestador de los servicios.

OCTAVA. - Comunicaciones.

Cualquier notificación que se efectúe entre las partes se hará por escrito y será entregada

personalmente o de cualquier otra forma que certifique la recepción por la parte notificada. Cualquier cambio de domicilio de una de las partes deberá ser notificado a la otra de forma

inmediata y por medio que garantice la recepción del mensaje. La falta de dicha comunicación implicará que se considerarán válidas las notificaciones efectuadas en dichos domicilios.

Para llevar a cabo las comunicaciones necesarias a lo largo de la vigencia del presente contrato se

establecen las personas y direcciones que se indican en los encabezamientos del mismo.

Agendas. De acuerdo con lo establecido en el RGPD, RGPD y la Ley 34/2002 de Servicios de la

Sociedad de la Información, informamos que los datos personales o correos electrónicos que se faciliten por ambas partes durante la ejecución del presente contrato podrán ser automatizados y/o transcritos a soporte papel, con la única finalidad de poder llevar a cabo la prestación de los servicios contratados y para la gestión interna y agenda de contacto, dando el encargado del tratamiento y el responsable del tratamiento, su autorización informada, libre, consentida e inequívoca para ello.

NOVENA.- Obligaciones del responsable del tratamiento.

Corresponde al responsable del tratamiento:

1. Entregar al encargado los datos a los que se refiere la cláusula 1 de este documento. 2. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de

tratamiento a realizar por el encargado. 3. Realizar las consultas previas que corresponda. 4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del

encargado. 5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

DECIMA.- De Sumisión.

En lo no previsto en este contrato, así como en la interpretación y resolución de los conflictos que

pudieran surgir entre las partes como consecuencia del mismo, será de aplicación la legislación española.


Ambas partes, con renuncia expresa de los fueros que pudieran corresponderles, se someten a los tribunales de ______________________, para solventar cualquier cuestión que entre ellos pudiera suscitarse dimanante de la interpretación del presente contrato.

________ ___________ El responsable del tratamiento El encargado del tratamiento (firma y sello) (firma y sello)

MARÍA MARSANS ASTORECA REPRESENTANTEENCARGADO


ANEXO C.2. Formulario cumplimiento para encargado del tratamiento de

datos de carácter personal. Estimado proveedor: Como consecuencia de la aplicación, a partir del 25 de mayo de 2018, del Reglamento General de Protección de Datos de la Unión Europea, BODEGAS ARRAYAN, S.L. además de modificar sus Políticas de Privacidad en lo que a su actividad se refiere, está llevando a cabo un análisis del nivel de adecuación de sus proveedores al mismo. Esta acción se legitima en el art. 28 del RGPD que dispone:

“1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, éste elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado. (…)”.

Este artículo obliga a las empresas a exigir de sus encargados de tratamiento la aplicación de medidas suficientes que garanticen la seguridad de los datos de carácter personal, es decir, asegurar que el tratamiento de los datos personales sea conforme al RGPD. Es por esto que requerimos se nos devuelva firmado el formulario que les presentamos a continuación: Identificación del encargado del tratamiento

- Razón social: - NIF: - Domicilio social:

Tratamiento de datos para los servicios prestados Indique las categorías de datos a las que tiene acceso para la prestación de los servicios que lleva a cabo para nuestra organización y con qué finalidad trata dichos datos. EJEMPLO: En [nombre de la empresa] se tratan datos de las siguientes categorías para los fines de gestión contable y prospección comercial:

Datos especialmente protegidos Datos de carácter identificativo Detalles de empleo

Delegado de protección de datos Si su empresa está obligada a la designación de un Delegado de Protección de Datos y se ha procedido a su designación, indique acerca del mismo: No estamos obligados a contar con la nueva figura del DPO. Sí estamos obligados y contamos con la nueva figura del DPO.

- Nombre y Apellidos: - Dirección de correo electrónico:

No estamos obligados a contar con la nueva figura del DPO, pero se ha designado voluntariamente.

- Nombre y Apellidos: - Dirección de correo electrónico:

Localización de los datos que se tratan para la prestación del servicio


Indique las ubicaciones en las que se va a llevar a cabo el tratamiento de datos para la prestación del servicio teniendo en cuenta también el almacenamiento y conservación de los datos. Subcontratistas/subencargados de tratamiento. Indique todos los subcontratistas que vaya a contratar para la prestación de los servicios que va a llevar a cabo. Entre dichos subcontratistas deben estar incluidas otras empresas, autónomos y otras empresas del grupo (si procede). También deberá tener en cuenta proveedores de aplicaciones (como por ejemplo, Google Suite) y proveedores de infraestructuras (como por ejemplo, Amazon Web Services). Transferencias internacionales de datos. Indique si se van a realizar tratamientos de nuestros datos fuera del Espacio Económico Europeo. Si la respuesta es afirmativa, especifique:

Si es su empresa o si es alguna de los terceros subcontratados quien va a realizar la transferencia.

A qué países de destino se van a remitir los datos.

Cuál es el método que garantiza la seguridad de la transferencia.

Certificaciones y códigos de conducta Indique si su organización está certificada bajo algún estándar de seguridad de la información (como ISO 27001), en caso afirmativo, el alcance de dicha certificación y si está adherida a algún código de conducta sectorial.

No estamos certificados en algún estándar de seguridad de la información Sí, estamos certificados en algún estándar de certificación

- Indicar cuál: - Alcance de la certificación:

No estamos adheridos a un código de conducta. Sí, estamos adheridos a un código de conducta. - Indicar cuál:

Planes de formación Indique los planes de formación en materia de protección de datos y seguridad definidos para sus empleados y colaboradores. En concreto, con qué frecuencia se realizan y si se puede acreditar dicha formación. Medidas de seguridad

Indique las medidas de seguridad que tiene previsto implantar para asegurar que el tratamiento de los datos

personales que va a llevar a cabo para la prestación de los servicios que nos presta se ajusta a los requerimientos del

RGPD.


ANEXO D.1. WEB. Política de privacidad.

BODEGAS ARRAYAN, S.L., (en adelante BODEGAS ARRAYAN, S.L.), en cumplimiento del Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, desea poner en conocimiento de sus clientes la política llevada a cabo respecto al tratamiento y protección de los datos de carácter personal de aquellas personas que voluntariamente utilizan los formularios para contratar con BODEGAS ARRAYAN, S.L., cualquiera de los servicios ofrecidos, que impliquen la comunicación de sus datos personales a BODEGAS ARRAYAN, S.L. 1.- Identificación del responsable del tratamiento.

BODEGAS ARRAYAN, S.L., empresa con domicilio en C/ DUQUE DE SEVILLA 14 28002 MADRID. Teléfono 914179228, CIF.: B88116330 , inscrita en el Registro Mercantil de REGISTRORESPONSABLE, informa a sus clientes y usuarios, que es el titular de la presente Web www.arrayan.es.

2.- Actualización de las políticas. BODEGAS ARRAYAN, S.L. modificará, sin previo aviso, la presente política de privacidad siempre que sea necesario para adecuar la misma a cualquier cambio legislativo, reglamentario, jurisprudencial, administrativo o con la finalidad de adaptar dicha política a las instrucciones dictadas por el Parlamento Español, el Parlamento Europeo y el Consejo de la Unión Europea u objeto legítimo de BODEGAS ARRAYAN, S.L. Cualquier modificación de esta política no obstante lo anterior, será publicada y advertida por BODEGAS ARRAYAN, S.L. Por todo lo anterior, BODEGAS ARRAYAN, S.L. recomienda a los clientes la lectura periódica de estas políticas con el fin de poder conocer los cambios que en las mismas se efectúen. 3.- Finalidad del tratamiento. La comunicación de datos personales por los clientes a BODEGAS ARRAYAN, S.L. a través de sus formularios, únicamente puede entenderse que tendrá lugar cuando éstos, voluntariamente utilicen el servicio de formulario de suscripción para ponerse en contacto con BODEGAS ARRAYAN, S.L., dado que en estos casos el tratamiento de los datos es inevitable e implícito al sistema de consulta y/o contratación. Para estos casos y los descritos en el siguiente apartado, la entidad, informa a sus clientes, que el tratamiento de los datos se realiza con las siguientes finalidades:

d) En cumplimiento de un contrato, para llevar a cabo todas las gestiones administrativas, contables, fiscales y logísticas vinculadas con la contratación y prestación de servicios y productos de BODEGAS ARRAYAN, S.L., en relación a la comercialización de los productos BODEGAS ARRAYAN, a través de comercio electrónico, gestionar la agenda de contactos de nuestra empresa y atender a sus peticiones de consulta vía electrónica..

e) Otorgamiento de su consentimiento (puede retirarlo en cualquier momento, sin que afecte a la licitud del tratamiento. Lea el capítulo 10.- Ejercicio de los derechos ARCO) , para:

a. Aplicación personalizada de campañas promocionales, suscripción a newletters, comunicaciones comerciales, invitaciones a eventos y/o encuestas de distinta índole.

b. Uso de forma anónima, sin ninguna característica que le pueda identificar, con la finalidad de realizar análisis y estudio estadísticos propios o de terceros.

f) Por interés legítimo de BODEGAS ARRAYAN, S.L., para:

a. Mejorar sus expectativas e incrementar su grado de satisfacción como cliente al desarrollar y mejorar la calidad de productos y servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de mercado que puedan resultar de interés.

b. Comunicaciones de cortesía, tipo felicitación por aniversario, desearle felices fiestas o simplemente un buen día.

4.- Duración del tratamiento. BODEGAS ARRAYAN, S.L. conservará sus datos personales mientras dure la relación contractual. Una vez finalizada ésta, los datos serán conservados debidamente bloqueados, durante los plazos de prescripción legal, que con carácter general son 10 años. Una vez finalizados éstos, los datos serán destruidos o borrados.


3.- Lugar de tratamiento. El tratamiento de los ficheros con datos de carácter personal, de los que BODEGAS ARRAYAN, S.L. es responsable, se realiza en:

Centro de Proceso de Datos del proveedor de alojamiento web, DIGIVAL®, ubicado en España.

Sede principal de BODEGAS ARRAYAN, S.L. en Madrid - España. y son tratados por personal técnico de BODEGAS ARRAYAN, S.L. predispuesto en calidad de encargado de tratamiento, y de eventuales encargados externos para las ocasionales operaciones de mantenimiento.

4.- Consentimiento. BODEGAS ARRAYAN, S.L., informa que en esta política de privacidad se contienen todos los aspectos relacionados con el tratamiento de datos personales que BODEGAS ARRAYAN, S.L. lleva a cabo como responsable del mismo. Así, se informa que cuando los clientes mantengan o no, relaciones comerciales con BODEGAS ARRAYAN, S.L., y realicen el envío de un correo electrónico o una comunicación a BODEGAS ARRAYAN, S.L., indicando otros datos personales, dicho cliente estará dando su consentimiento libre, inequívoco, específico, informado y expreso para el tratamiento de sus datos personales por BODEGAS ARRAYAN, S.L., con las finalidades establecidas anteriormente, así como atender su comunicación o enviar documentación. A los mismos efectos, BODEGAS ARRAYAN, S.L. informa de que, si el cliente envía un correo electrónico o comunica a BODEGAS ARRAYAN, S.L. sus datos personales en razón del cargo que ocupa en una empresa -ya sea como administrador, gerente, representante y/o cualquier otro cargo como persona de contacto en la empresa-, se entenderá que tal comunicación conlleva la prestación de su consentimiento libre, inequívoco, específico, informado y expreso para el tratamiento de sus datos personales por BODEGAS ARRAYAN, S.L., con las finalidades establecidas anteriormente, así como atender su comunicación o enviar documentación. Usuarios Menores De Edad. BODEGAS ARRAYAN, S.L. es consciente que la Página web y los Servicios y productos ofrecidos en ella, pueden interesar a un público menor de edad. Por lo que compete a la recogida y tratamiento de datos personales, BODEGAS ARRAYAN, S.L. no permite ninguna operación con los datos personales de menores de edad. El registro está, por lo tanto, permitido solamente a los Usuarios mayores de edad. 5.- Registro en la Web. Para el disfrute de algunos Servicios reservados (newsletter, listado de favoritos, etc), el Usuario debe registrarse entrando en un área específica de la Página web.

La suscripción a dichos Servicios Especiales, se realiza a través de una lista de favoritos y/o una newsletter, comunicación periódica enviada, por medio de correo electrónico, a la dirección indicada por el Usuario, a través de la cual, los Usuarios registrados serán informados de las iniciativas exclusivas que BODEGAS ARRAYAN, S.L. pondrá a disposición de los proprio Usuarios (“Newsletter”). La Newsletter podrá contener banners de publicidad, inserciones y ofertas de publicidad de BODEGAS ARRAYAN, S.L. y de terceros, igualmente. En el momento del registro, le serán solicitados al Usuario sus datos personales, algunos de los cuales –expresamente indicados- serán obligatorios (por ejemplo la dirección de correo electrónico en la cual recibir las Newsletter). Los otros datos podrán ser o no ser introducidos, a discreción del Usuario, pero puede imposibilitarle la participación en algunos de nuestros concursos o iniciativas; o igualmente permitirle sólo un uso parcial del servicio. 6.- Identificación de los destinatarios respecto de los que BODEGAS ARRAYAN, S.L. tenga previsto la realización de cesiones o acceso a datos por cuenta de terceros. BODEGAS ARRAYAN, S.L. únicamente tiene prevista la realización de comunicaciones de datos:


En razón de la Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal y el Reglamento Europeo 2016/679 de 27 de abril de 2016 de protección de datos de carácter personal, deba realizar para atender sus obligaciones con las Administraciones Públicas en los casos que así se requiera de acuerdo con la Legislación vigente en cada materia en cada momento y en su caso igualmente, a otros órganos como Jueces, Ministerio Fiscal, Tribunales, Ministerio de Finanzas, Tribunal de Cuentas, Defensor del Pueblo u otros similares.

Entidades Financieras para la domiciliación del cobro de cuotas, Empresas Informáticas para soporte y mantenimiento de su sistema informático y otros profesionales necesarios para la prestación del servicio contratado.

Igualmente BODEGAS ARRAYAN, S.L. pone en conocimiento de los clientes, que cualquier otra cesión de datos que deba realizar, será puesta en su conocimiento cuando así lo prevea la LOPD, informándole de modo expreso, preciso e inequívoco de los destinatarios de la información, de la finalidad a que se destinarán los datos, y de la naturaleza de los datos cedidos, o en su caso, cuando la LOPD lo establezca, previamente se solicitará el consentimiento inequívoco específico e informado al cliente. No obstante, BODEGAS ARRAYAN, S.L. informa al cliente que cualquier tratamiento de datos personales, se sujeta a la legislación vigente en la Unión Europea en materia de protección de datos, establecida por el Reglamento Europeo 2016/679 de 27 de abril de 2016 y su normativa complementaria y de desarrollo. En este sentido, BODEGAS ARRAYAN, S.L. sólo es responsable y garantiza la confidencialidad de los datos de carácter personal que solicite al cliente, no teniendo ningún tipo de responsabilidad respecto de los tratamientos y posteriores utilizaciones de los datos personales que pudieran efectuarse por terceros prestadores de servicios de la sociedad de la información que pudiesen acceder a tales datos en razón de la prestación de sus servicios o ejercicio de su actividad. Puede darse el caso de que BODEGAS ARRAYAN, S.L., realice la captación y manipulación de los datos de carácter personal facilitados por los clientes, o destinatarios de campañas, como responsable de tratamiento, encargado por un tercero, el cual es el responsable del/os tratamiento/s donde se incluirá dicha información. BODEGAS ARRAYAN, S.L. informará debidamente de dicha situación, indicando el titular del/os tratamiento/s afectados, y la forma y dirección donde se podrá ejercer los derechos de Acceso, Rectificación, Cancelación, Oposición, Supresión, Limitación del tratamiento y Portabilidad de los datos pertinentes. Por terceros prestadores de servicios de la sociedad de la información se entenderán -sin carácter limitativo- aquellas personas físicas o jurídicas que presten los siguientes servicios:

a) Transmisión por una red de comunicación de datos facilitados por los destinatarios del servicio. b) Servicios de acceso a la citada red. c) Servicios de almacenamiento o alojamiento de datos. d) Suministro de contenidos o información.

7.- Calidad de los datos. BODEGAS ARRAYAN, S.L. advierte al cliente de que, salvo la existencia de una representación legalmente constituida, ningún cliente puede utilizar la identidad de otra persona y comunicar sus datos personales, por lo que los clientes en todo momento deberán tener en cuenta que, solo puede incluir datos personales correspondientes a su propia identidad y que sean adecuados, pertinentes, actuales, exactos y verdaderos. A tales efectos, los clientes serán los únicos responsables frente a cualquier daño, directo y/o indirecto que cause a terceros o a BODEGAS ARRAYAN, S.L., por el uso de datos personales de otra persona, o sus propios datos personales cuando sean falsos, erróneos, no actuales, inadecuados o impertinentes. Igualmente los clientes que utilice los datos personales de un tercero, responderá ante éste de la obligación de información establecida en el Reglamento Europeo 2016/679 de 27 de abril de 2016, para cuando los datos de carácter personal no hayan sido recabados del propio interesado, y/o de las consecuencias de no haberle informado. 10.- Ejercicio de los derechos de acceso, oposición, rectificación, cancelación, supresión, limitación del tratamiento y portabilidad de los datos. BODEGAS ARRAYAN, S.L. informa al cliente de la posibilidad de ejercitar de forma gratuita, sus derechos de acceso, oposición, rectificación, cancelación, supresión, limitación del tratamiento y portabilidad de los datos, aportando junto a su solicitud una copia del DNI o documento equivalente acreditativo de identidad, dirigiéndose a BODEGAS


ARRAYAN, S.L., sita en C/ DUQUE DE SEVILLA 14 28002 MADRID, o a través de correo electrónico a la dirección: [email protected], argumentando su derecho en función de la Sección 2 del Reglamento Europeo 2016/679 de 27 de abril de 2016”.

Derecho Contenido

Acceso Podrá consultar sus datos personales incluidos en tratamientos de BODEGAS ARRAYAN, S.L..

Rectificación Podrá modificar sus datos personales cuando sean inexactos.

Supresión Podrá solicitar la eliminación de sus datos personales.

Oposición Podrá solicitar que no se traten sus datos personales.

Limitación del tratamiento

Podrá solicitar la limitación al tratamiento de sus datos en los siguientes casos:

Mientras se comprueba la impugnación de la exactitud de sus datos.

Cuando el tratamiento es ilícito, pero se oponga a la supresión de sus datos.

Cuando BODEGAS ARRAYAN, S.L. no necesite tratar sus datos pero usted los necesite para el ejercicio o la defensa de reclamaciones.

Cuando se haya opuesto al tratamiento de sus datos para el cumplimiento de una misión en interés público o para la satisfacción de un interés legítimo, mientras se verifica si los motivos legítimos para el tratamiento prevalecen sobre los suyos.

Portabilidad Podrá recibir, en formato electrónico, los datos personales que nos haya facilitado y aquellos que se han obtenido de su relación contractual con BODEGAS ARRAYAN, S.L., así como a transmitirlos a otra entidad.

En caso de disconformidad con el ejercicio de sus derechos o del tratamiento efectuado, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.agpd.es). 9.- Medidas de seguridad adoptadas con relación al tratamiento de los datos personales. BODEGAS ARRAYAN, S.L. informa al cliente que, de conformidad con lo dispuesto en el Reglamento Europeo 2016/679 de 27 de abril de 2016, ha adoptado las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar la alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Igualmente BODEGAS ARRAYAN, S.L. garantiza al cliente el cumplimiento del deber de secreto profesional respecto de los datos personales de los clientes y del deber de guardarlos.


ANEXO D.2. WEB. Política de Cookies.

Esta Política de Cookies es parte integrante de las Condiciones Generales de Uso y la Política de Privacidad de la página web http://www.arrayan.es (en adelante, el “Sitio Web”). El acceso y la navegación en el Sitio Web, o el uso de los servicios del mismo, implican la aceptación de los términos y condiciones recogido en las Condiciones de Uso y en la Política de Privacidad.

Con el fin de facilitar la navegación por el Sitio Web, BODEGAS ARRAYAN, S.L. S.L., (en adelante, “BODEGAS ARRAYAN, S.L.”), con domicilio social en C/ DUQUE DE SEVILLA 14 28002 MADRID, con CIF B88116330, le comunica que utiliza cookies u otros archivos de funcionalidad similar (en adelante, las “Cookies”).

¿Qué es una Cookie?.

Las Cookies son archivos (no es un archivo ejecutable ni un programa y por lo tanto no puede propagar o contener un virus u otro software malicioso, ni puede tener una longitud superior a 4.000 caracteres ), que contienen pequeñas cantidades de información que se descargan en el dispositivo del usuario cuando visita una página web. Su finalidad principal es reconocer al usuario cada vez que accede al Sitio Web permitiendo, además, mejorar la calidad y ofrecer un mejor uso del Sitio Web.

Las Cookies son esenciales para el funcionamiento de Internet, ya que ayudan, entre otras funciones, a identificar y resolver posibles errores de funcionamiento del Sitio Web.

Uso de Cookies por parte de BODEGAS ARRAYAN, S.L.

El acceso al Sitio Web supone la aceptación expresa de la utilización de las Cookies detalladas en la presente Política en aquellos dispositivos utilizados para realizar dicho acceso. Si se desactivan las Cookies, puede que la navegación por el Sitio Web no sea óptima y algunas de las utilidades de que dispone el Sitio Web no funcionen correctamente.

Concretamente, BODEGAS ARRAYAN, S.L. está utilizando las Cookies para permitir el log-in de los usuarios en aquellos casos en los que éste sea necesario para acceder a determinadas secciones del Sitio Web, así como recordar los datos de log-in de dichos usuarios en futuras visitas y poder ofrecer así una experiencia de navegación más cómoda.

Por último, podrían instalarse cookies de terceros en el caso de que el usuario utilice las herramientas para compartir alguno de los contenidos de la página web en las diferentes redes sociales. Dichas cookies son instaladas por las propias redes sociales en las que se compartir el contenido, para conocer más sobre ellas. Se recomienda visitar las páginas de dichas redes sociales.

Normalmente los sitios Web utilizan las cookies para obtener información estadística sobre sus páginas Web. Tenga en cuenta que recogemos datos sobre sus movimientos y uso de nuestra Web como datos estadísticos, no personales.

Tipos de cookies

Las cookies se pueden clasificar en función a la entidad que las gestione, el tiempo que éstas permanecen activas o según su finalidad. En algunas ocasiones podremos comprobar que una misma cookie puede estar incluida dentro de más de una categoría.

En función a su propiedad

Cookies propias: Son aquellas que se envían al equipo del usuario desde un equipo o dominio gestionado por BODEGAS ARRAYAN, S.L.

Cookies de terceros: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

En función a su tiempo de vida


Cookies de sesión: Son aquellas que recaban datos mientras que el usuario está navegando por la página web.

Cookies persistentes: Son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

En función a su finalidad

Cookies técnicas: Son aquellas que se usan de forma internas y que son necesarias para el funcionamiento de la web.

Cookies analíticas: Son aquellas que permiten recabar información estadística sobre la actividad de los usuarios. Dicha información se recopila de forma anónima y permite optimizar la navegación por la nuestra web con el fin de garantizar un mejor servicio al usuario.

Cookies de personalización: Son aquellas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, controlar el tráfico y la comunicación de datos, o acceder a secciones de acceso restringido, etc.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.

Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Cookies propias.

No hay.

Cookies de Terceros.

Cookies de análisis:

BODEGAS ARRAYAN, S.L., a través de la Web, utiliza Google Analytics y Google Adservices/ Syndication, servicios prestados por Google, Inc., entidad cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (en adelante, "Google”).

Estos servicios utilizan cookies con el propósito de analizar el uso que hacen los usuarios de la Web. La información que genera la Cookie (incluyendo su dirección IP) será directamente transmitida y archivada por los prestadores del servicio. Google usará esta información por cuenta de BODEGAS ARRAYAN, S.L. con el propósito de seguir la pista de su uso de la Web, recopilando informes de la actividad de la misma y prestando otros servicios relacionados con la actividad de la Web y el uso de Internet.

Cookies de publicidad comportamental:

Cada vez que un usuario visita la Web se le asigna una cookie persistente que durante un plazo determinado almacena información sobre su comportamiento a través de la observación de sus hábitos de navegación en la Web, lo que permite a BODEGAS ARRAYAN, S.L. identificar al usuario y mostrarle determinada publicidad en función de los mismos. Una vez que los usuarios abandonan la Web, se les mostrará publicidad del tipo de productos o servicios de la Web sobre los que se ha interesado.

Asimismo, si navega por otras páginas web en las que se publicitan anuncios sobre servicios de BODEGAS ARRAYAN, S.L., le informamos de que la visualización de los anuncios es gestionada a través de datos obtenidos mediante una cookie a la que podríamos tener acceso con la finalidad de realizar un seguimiento de la campaña publicitaria relativa a dicho anuncio así como para mostrarle determinada publicidad.


Estas son las Cookies que se utilizan en la Web:

COOKIES

Fuente FINALIDAD DURACIÓN

web

Se utiliza para identificar la tienda (“alimentación” o “tecnología”) para saber el origen del proceso de login y ejecutarlo automáticamente en caso de cambio de tienda

Cookies persistentes: jas_js

Drupal.tableDrag.showWeight remodalcoockie

showpopup has_js

DRUPAL_UID política

Vimeo Se utiliza para identificar el estado de la sesión y registrar los vídeos más recientes que se han visto en un navegador específico.

Cookies persistentes: __utma __utmc __utmz

continuous_play_v3 vuid _ga

Facebook Plugin social

Se utiliza para compartir información, es una herramienta que permite al usuario compartir información con sus contactos y/o amigos en Facebook

Cookies persistentes:

fr

Si desea más información al respecto, puede visitar la siguiente URL:

GOOGLE ANALITYCS:

https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Google ADSERVICES / SYNDICATION

http://www.google.com/policies/technologies/ads/

Configuración del usuario para evitar Cookies

En cumplimiento de la normativa legal vigente, ponemos a su disposición la información que le permita configurar su navegador/navegadores de Internet para mantener su privacidad y seguridad en relación con las Cookies. Por ello, le facilitamos la información y enlaces a los sitios de soporte oficiales de los principales navegadores para que pueda decidir si desea o no aceptar el uso de Cookies.

Así, puede bloquear las Cookies a través de las herramientas de configuración del navegador, o bien, puede configurar su navegador para que le avise cuando un servidor quiera guardar una Cookie:

Si utiliza Microsoft Internet Explorer, en la opción de menú Herramientas > Opciones de Internet > Privacidad > Configuración.

Si utiliza Firefox, en la opción de menú Herramientas > Opciones > Privacidad > Cookies.

Si utiliza Google Chrome, en la opción de menú Configuración > Privacidad

Si utiliza Safari, en la opción de menú Preferencias > Seguridad

Puede hacer uso de la sección “Ayuda” que encontrará en la barra de herramientas de la mayoría de navegadores para cambiar los ajustes de su ordenador, sin embargo, algunas de las características de nuestros servicios online pueden no funcionar o pueden resultar más complicadas de acceder si rechaza todas las cookies.

Muchos navegadores permiten activar un modo privado mediante el cual las cookies se borran siempre después de su visita. Dependiendo de cada navegador, este modo privado puede tener diferentes nombres, abajo puede encontrar una lista de los navegadores más comunes y los diferentes nombres de este “modo privado”:


Internet Explorer 8 y superior: InPrivate

FireFox 3.5 y superior: Navegación Privada

Google Chrome 10 y superior: Incógnito

Safari 2 y superior: Navegación Privada

Opera 10.5 y superior: Navegación Privada Por favor, lea atentamente la sección de ayuda de su navegador para conocer más acerca de cómo activar el “modo privado”. Podrá seguir visitando nuestra Web aunque su navegador esté en “modo privado”, no obstante, la experiencia de usuario puede no ser óptima y algunas utilidades pueden no funcionar. En caso de que el usuario decida desactivar todas las Cookies, la calidad y rapidez del servicio podría disminuir e, incluso, podría perder el acceso a algunos de los servicios o secciones ofrecidos en la Web. Puede encontrar más información sobre cookies en: www.allaboutcookies.org Si tiene dudas sobre esta política de cookies, puede contactar con BODEGAS ARRAYAN, S.L. en [email protected]. Última actualización: 23 de mayo de 2018.

Copyright © 2017-2018 BODEGAS ARRAYAN, S.L. Todos los derechos reservados.


ANEXO D.4. WEB. Condiciones de uso / Aviso Legal. BODEGAS ARRAYAN, S.L., compañía mercantil de nacionalidad española domiciliada en la C/ DUQUE DE SEVILLA 14 28002 MADRID y con C.I.F. B88116330, entidad inscrita en el Registro Mercantil de Madrid, Tomo 13.914, Libro 0, Folio 69, Sección 8ª, Hoja M-22781. El sitio web es propiedad de BODEGAS ARRAYAN, S.L. La utilización del sitio web está sujeta a las siguientes condiciones de uso. Le rogamos que las lea atentamente. El hecho de acceder a la web y utilizar los materiales contenidos en ellas implica que usted ha leído y acepta, sin reserva alguna, estas condiciones. TÉRMINOS Y CONDICIONES 1. GENERAL El presente documento establece las condiciones por las que se rige el uso de esta página web (en adelante, las "Condiciones"). Le rogamos que lea atentamente las Condiciones antes de usar esta página web. Al utilizar esta página web, usted consiente quedar vinculado por estas Condiciones, por lo que si no está usted de acuerdo con todas las Condiciones, no debe usar esta página web. La información contenida en estas Condiciones podría ser modificada. Es su responsabilidad leerlas periódicamente, ya que las condiciones vigentes en el momento de uso de la página web serán las que le resulten aplicables. BODEGAS ARRAYAN, S.L. se reserva el derecho a modificar, sin previo aviso, el contenido, diseño o estructura de la presente página web, así como a alterar, sustituir o modificar los contenidos alojados en la misma. La información alojada en esta página web se refiere únicamente al ámbito geográfico del territorio español. 2. NUESTROS DATOS Esta página web está operada por BODEGAS ARRAYAN, S.L., C/ Duque De Sevilla 14 28002 Madrid, provista de C.I.F. número B88116330; inscrita en el Registro Mercantil de Madrid. BODEGAS ARRAYAN, S.L. opera con el siguiente nombre de dominio: arrayan.es 3. SUS DATOS Y SUS VISITAS A ESTA PÁGINA WEB La información o datos personales que nos facilite sobre usted serán tratados con arreglo a lo establecido en la Política de Privacidad. Al hacer uso de esta página web usted consiente el tratamiento de dicha información y datos y declara que toda la información o datos que nos facilite son veraces y se corresponden con la realidad. 4. USO DE NUESTRA PÁGINA WEB Al hacer uso de esta página web usted se compromete a:

1. Hacer uso de esta página web únicamente para acceder a las informaciones, servicios, datos o programas (en adelante, “Contenidos”) titularidad de BODEGAS ARRAYAN, S.L. o a sus licenciantes. 2. Hacer un uso adecuado de los contenidos y servicios que BODEGAS ARRAYAN, S.L. ofrece a través de su página web. 3. Facilitarnos su dirección de correo electrónico, dirección postal y/u otros datos de contacto de forma veraz y exacta y mantenerla actualizada. Asimismo, consiente que podremos hacer uso de dicha información para ponernos en contacto con usted si es necesario. Ver nuestra Política de Privacidad


4. No publicar cualquier información de carácter comercial o publicitario o cualquier información que vulnere la legislación sobre los derechos de Propiedad Intelectual y/o la normativa en materia de protección de datos de carácter personal (salvo en caso de autorización previa, escrita y expresa de BODEGAS ARRAYAN, S.L. 5. No recopilar información o contenido de otros usuarios. 6. No retirar, suprimir, manipular ni en modo alguno modificar aquellas notas, leyendas, indicaciones o símbolos que bien BODEGAS ARRAYAN, S.L. o los legítimos titulares de los derechos, incorporen a sus propiedades en materia de propiedad intelectual o industrial (p.e. copyright, TM, C, R, etc.), ni los dispositivos técnicos de protección o identificación que puedan contener los Contenidos (p.e. marcas de agua, huellas digitales, etc). 7. No publicar ni aportar contenidos que vulneren el respecto a la dignidad de las personas, discriminatorios, malintencionados, engañosos, ilícitos o pornográficos que atenten contra la juventud o la infancia, el orden o la seguridad pública o que, a juicio de BODEGAS ARRAYAN, S.L. no resulten adecuados para su publicación. 8. No realizar ninguna acción que pudiera inhabilitar, sobrecargar o afectar el correcto funcionamiento de la página web.

5. RESPONSABILIDAD Y EXONERACIÓN DE RESPONSABILIDAD El usuario es el único responsable de la utilización de la página web, asumiendo la totalidad de los riesgos que pudieran sobrevenir. Debido a la naturaleza abierta de esta página web y a la posibilidad de que se produzcan errores en el almacenaje y transmisión de información digital, BODEGAS ARRAYAN, S.L. no garantiza la precisión y seguridad de la información transmitida u obtenida por medio de esta página web a no ser que se establezca expresamente lo contrario en la misma. Por tanto, BODEGAS ARRAYAN, S.L. no será responsable, en ningún caso, de los daños y perjuicios de cualquier naturaleza que pudieran ocasionarse, a título meramente enunciativo, - errores u omisiones en los contenidos, falta de disponibilidad del sitio web, o la transmisión de virus o programas maliciosos o lesivos en los contenidos, a pesar de haber adoptado todas las medidas tecnológicas necesarias para evitarlo. BODEGAS ARRAYAN, S.L. le recuerda que las siguientes normas – salvaguarda del orden público; la investigación penal; la seguridad pública y la defensa nacional; la protección de la salud pública o de las personas físicas; el respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social; la protección de la juventud y la infancia, son de obligado cumplimiento en el ámbito de funcionamiento de esta página web. Por tanto, BODEGAS ARRAYAN, S.L. se reserva, el derecho de retirar todos aquellos comentarios y aportaciones que vulneren dichas normas. En cualquier caso, BODEGAS ARRAYAN, S.L. no será responsable de las opiniones vertidas por los usuarios a través de los comentarios o cualquier otra herramienta de participación. Con el alcance que permita la ley, BODEGAS ARRAYAN, S.L. excluye expresamente todas las garantías, salvo aquéllas que no puedan ser legítimamente excluidas frente a los consumidores y usuarios. Lo dispuesto en la presente cláusula no afectará a sus derechos legales como consumidor y usuario. 6. ENLACES (LINKS) CON OTROS SITIOS WEB Esta página web cuenta con publicidad y algunos contenidos que establecen un enlace con otros sitios web, o servicios de terceros, Estos enlaces tienen su propia política de privacidad y condiciones de uso por lo cual no es posible controlar contenidos, seguridad vínculos que a su vez ellos ofrecen. BODEGAS ARRAYAN, S.L. no será responsable de todas aquellas informaciones y/o contenidos, productos y/o servicios, no generados directamente por el mismo. Por tanto, BODEGAS ARRAYAN, S.L., en ningún caso será responsable de ningún daño, pérdida o gasto, directo o indirecto, inherente o consecuente, que surja en relación con la conexión a cualquier sitio web hacia el cual exista enlace o su uso o imposibilidad de uso o cualquier falla en el rendimiento, error, omisión, interrupción, defecto demora en la operación o transmisión, aun cuando BODEGAS ARRAYAN, S.L. hubiera sido o fuere informado sobre la posibilidad de dichos daños, pérdidas o gastos.


7. PROPIEDAD INTELECTUAL Usted reconoce y consiente que todo copyright, marca registrada y demás derechos de propiedad intelectual sobre los materiales o contenidos que se aportan como parte de la página web (textos, imágenes, diseño gráfico, código fuente, logos, etc.) corresponden en todo momento a BODEGAS ARRAYAN, S.L. o a quienes le otorgaron licencia para su uso. Usted podrá hacer uso de dicho material únicamente en la forma en que BODEGAS ARRAYAN, S.L. se lo autorice expresamente o quienes le otorgaron licencia para su uso. Esto no le impedirá utilizar esta página web en la medida necesaria para copiar la información sobre los datos de Contacto. Por tanto, queda expresamente prohibido:

Utilizar cualquiera de los contenidos y servicios con fines ilícitos, prohibidos en las presentes Condiciones, lesivos de los derechos e intereses de terceros, o que de cualquier forma puedan dañar, inutilizar, sobrecargar, deteriorar o impedir la normal utilización de los servicios, los equipos informáticos o los documentos, archivos y toda clase de contenidos almacenados en cualquier equipo informático de BODEGAS ARRAYAN, S.L.

Utilizar contenidos y servicios que se encuentren protegidos por cualquier derecho de propiedad intelectual o industrial pertenecientes a la entidad o a terceros, sin que el usuario haya obtenido previamente de sus titulares la autorización necesaria para llevar a cabo el uso que efectúa o pretende efectuar. - Reproducir, copiar, distribuir, comunicar, transformar o modificar los contenidos, a menos que se cuente con la autorización del titular de los correspondientes derechos o ello resulte legalmente permitido.

La obtención o incluso el intento de obtención de los contenidos empleando para ello medios o procedimientos distintos de los que, según los casos, se hayan puesto a su disposición a este efecto en general, de los que se empleen habitualmente en Internet siempre que no entrañen un riesgo de daño o inutilización de la web, de los servicios y/o de los Contenidos.

Cualquier actuación u omisión, culpable o negligente, directa o indirectamente, imputable al usuario que suponga una infracción de los derechos de propiedad intelectual e industrial de BODEGAS ARRAYAN, S.L. y le cause o pueda causar daños, pérdidas, la asunción de nuevas obligaciones, gastos de cualquier naturaleza, sanciones, medidas coercitivas, multas y otras cantidades surgidas o derivadas de cualquier reclamación, demandas, acciones, pleitos o procedimientos, ya sean en el ámbito civil, penal o administrativo, le facultará para dirigirse contra el usuario por todos los medios legales a su alcance y reclamar cualesquiera cantidades indemnizatorias, incluyendo daños morales e imagen, daño emergente y lucro cesante, costes publicitarios o de cualquier otra índole que pudieran resultar para su reparación. 8. VIRUS, PIRATERÍA Y OTROS ATAQUES INFORMÁTICOS Usted no debe realizar un uso indebido de esta página web mediante la introducción intencionada en la misma de virus, troyanos, gusanos, bombas lógicas o cualquier otro programa o material tecnológicamente perjudicial o dañino. Usted no tratará de tener acceso no autorizado a esta página web, al servidor en que dicha página se encuentra alojada o a cualquier servidor, ordenador o base de datos relacionada con nuestra página web. Usted se compromete a no atacar esta página web a través de un ataque de denegación de servicio o de un ataque de denegación de servicio distribuido. El incumplimiento de esta cláusula podría llevar aparejada la comisión de infracciones tipificadas por la normativa aplicable. Informaremos de cualquier incumplimiento de dicha normativa a las autoridades competentes y cooperaremos con ellas para descubrir la identidad del atacante. Asimismo, en caso de incumplimiento de la presente cláusula, dejará inmediatamente de estar autorizado a usar esta página web. BODEGAS ARRAYAN, S.L. no será responsable de cualquier daño o pérdida resultante de un ataque de denegación de servicio, virus o cualquier otro programa o material tecnológicamente perjudicial o dañino que pueda afectar a su ordenador, equipo informático, datos o materiales como consecuencia del uso de esta página web o de la descarga de contenidos de la misma o a los que la misma redireccione.


9. DERECHO A MODIFICAR LAS CONDIDIONES BODEGAS ARRAYAN, S.L. se reserva el derecho a revisar, actualizar, modificar y/o eliminar las presentes Condiciones o cualquier información contenida en su web, así como su configuración y prestaciones, en cualquier momento y sin necesidad de previo aviso. Usted estará sujeto a las políticas y Condiciones vigentes en el momento en que use la presente página web, salvo que por ley o decisión de organismos gubernamentales se deban efectuar cambios con carácter retroactivo en dichas políticas, Política de Privacidad. BODEGAS ARRAYAN, S.L. se reserva el derecho a denegar o retirar el acceso tanto a su sitio web como a los servicios ofrecidos sin necesidad de preaviso, ya sea por instancia propia o de un tercero, a aquellos usuarios que incumplan las presentes Condiciones. 10. LEGISLACIÓN APLICABLE Y JURISDICCIÓN El uso de esta página web se regirá por la legislación española. Para la resolución de todas las controversias o cuestiones relacionadas con el presente sitio web o de las actividades en él desarrolladas, será de aplicación la legislación española, a la que se someten expresamente las partes, siendo competentes para la resolución de todos los conflictos derivados o relacionados con su uso los Juzgados y tribunales de Madrid.


ANEXO E.1. Listado de usuarios con acceso al tratamiento de datos.

RESPONSABLE DE SEGURIDAD

Nombre y apellidos Cargo Fecha Alta Fecha Baja

Irene Pilar Sevillano Queipo de Llano Directora de administración 15-05-2018

Maria Esperanza Marsans Astoreca Administradora Única 15-05-2018

ADMINISTRADORES DEL SISTEMA

Nombre y apellidos Cargo Fecha Alta Fecha Baja


M6 Sistemas de Oficina, S.A. Mantenimiento informático 15-05-2018

USUARIOS DEL FICHERO

Nombre y apellidos Unidad Administrativa Nº inventario

Pº Trabajo Fecha Alta Fecha Baja


Carlos Taveras Collado Peón 15-05-2018

Alvaro Garcia de Oteyza Ballester Dirección comercial 15-05-2018

Angel Escudero Sampedro Peón 15-05-2018

Benjamin Benito Chavarri Encargado finca 15-05-2018

Irene Pilar Sevillano Queipo de Llano Administración 15-05-2018

Cristina Perez Cidoncha Peón 15-05-2018

Paulino Parro Hernandez Peón 15-05-2018

Alfonso Gabaldon Pastor Contabilidad 15-05-2018

Maite Sanchez Marquez Enóloga 15-05-2018

Jose Julio Vegas Dominguez Peón 15-05-2018

Maria Elisa Bento Peón 15-05-2018

Francisco Abilio Alves Peón 15-05-2018

Juan Pablo Collado Durán Peón 15-05-2018

Teresa Maria Saraiva Moraisç Peón 15-05-2018

Gonzalo Zarate Toledo Peón 15-05-2018

Fdo.:

Director de Seguridad de la Información


ANEXO F.1. Formulario de autorización de salida de soportes.

AUTORIZACIÓN DE SALIDA DE SOPORTES

Fecha de salida del soporte

___ / ___ / _____

SOPORTE

Identificación

Contenido

Ficheros de donde

proceden los datos

Fecha de creación

FINALIDAD Y DESTINO

Finalidad

- Destino

Destinatario

FORMA DE ENVÍO

Medio de envío

Remitente

Precauciones para el

transporte

AUTORIZACIÓN

Persona que autoriza

Cargo / Puesto

Observaciones

Firma


ANEXO F.2. Formulario de ejercicio del derecho de acceso (1)

. DATOS DEL RESPONSABLE DEL FICHERO

(2).

Nombre / razón social: _______________________________ Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza ___________________________________. nº _____. C.Postal _________ Localidad ________________________________________ Provincia _________________________ Comunidad Autónoma _______________ C.I.F./D.N.I. ________________

DATOS DEL INTERESADO O REPRESENTANTE LEGAL

(3).

D./ Dª. _____________________________________________________, mayor de edad, con domicilio en la C/Plaza ____________________________________________ nº____ Localidad ____________________________ Provincia _____________________ C.P. _______. Comunidad Autónoma ______________________ con D.N.I_____________, del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 15 de Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, y en consecuencia, SOLICITA, Que se le facilite gratuitamente el derecho de acceso a sus ficheros en el plazo máximo de un mes a contar desde la recepción de esta solicitud, y que se remita por correo la información a la dirección arriba indicada en el plazo de diez días a contar desde la resolución estimatoria de la solicitud de acceso. Asimismo, se solicita que dicha información comprenda, de modo legible e inteligible, los datos de base que sobre mi persona están incluidos en sus ficheros, los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los mismos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.

En ______________a ___ de _____________ de 20___.

Firmado

1 Se trata de la petición de información sobre los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero

(Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos

personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos.

2 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. 3 También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE ACCESO.

1. Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del fichero pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal deberá aportarse, además, DNI y documento acreditativo de la representación del representante.

2. El derecho de acceso no podrá llevarse a cabo en intervalos inferiores a 12 meses, salvo interés legítimo debidamente justificado.

3. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar, en su caso, la dirección de los responsables de los ficheros inscritos. El titular de los datos personales objeto de tratamiento debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos.

4. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela de derechos, resulta necesario que haya transcurrido un mes desde la presentación de la solicitud por la que se ejercita el derecho de acceso, sin que se haya producido contestación alguna, y que se aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos:

. • la negativa del responsable del fichero a facilitar la información solicitada.

. • copia sellada por el responsable del fichero del modelo de petición de acceso.

. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos.

. • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.


ANEXO F.3. Formulario de ejercicio del derecho de rectificación (1)


(2).



(3).

D./ Dª. _____________________________________________________, mayor de edad, con domicilio en la C/Plaza ____________________________________________ nº____ Localidad ____________________________ Provincia _____________________ C.P. _______. Comunidad Autónoma ______________________ con D.N.I_____________, del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 16 de Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, y en consecuencia, SOLICITA, Que se proceda a acordar la rectificación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo

de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la rectificación

practicada.

Que en caso de que se acuerde, dentro del plazo de diez días hábiles, que no procede acceder a practicar total o parcialmente las

rectificaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de

Protección de Datos, al amparo del artículo 16 del Reglamento Europeo 2016/679 de 27 de abril de 2016.

Que si los datos rectificados hubieran sido comunicados previamente se notifique al responsable del fichero la rectificación

practicada, con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de

transparencia de la información a que se refiere el artículo 12 del Reglamento Europeo 2016/679 de 27 de abril de 2016.

En ______________a ___ de _____________ de 20___.

Firmado

1. Consiste en la petición dirigida al responsable del fichero con el fin de que los datos personales respondan con veracidad a la situación actual del afectado. 2. Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. 3. También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE RECTIFICACION.

1. Este modelo se utilizará para el caso de que se deban rectificar datos inexactos o incompletos en un fichero. 2. Para probar el carácter inexacto o incompleto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través del representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos: • la negativa del responsable del fichero a la rectificación de los datos solicitados. • copia sellada por el responsable del fichero del modelo de petición de rectificación. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.


ANEXO F.4. Formulario de ejercicio del derecho de oposición (1)


(2).



(3).

D./ Dª. _____________________________________________________, mayor de edad, con domicilio en la C/Plaza ____________________________________________ nº____ Localidad ____________________________ Provincia _____________________ C.P. _______. Comunidad Autónoma ______________________ con D.N.I_____________, del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 21 de Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, y en consecuencia, EXPONGO,

(describir la situación en la que se produce el tratamiento de sus datos personales y enumerar los motivos por los que se

opone al mismo)

Para acreditar la situación descrita, acompaño una copia de los siguientes documentos:

(enumerar los documentos que adjunta con esta solicitud para acreditar la situación que ha descrito)

SOLICITO,

Que sea atendido mi ejercicio del derecho de oposición en los términos anteriormente expuestos.

En ______________a ___ de _____________ de 20___.

Firmado

1 Se trata de la solicitud de oposición al tratamiento de los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero (Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos. 2 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. 3 También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE OPOSICION.

1. El presente formulario se utilizará por el afectado cuando desee oponerse a determinados tratamientos específicos de datos personales existentes en un fichero. 2. Para oponerse a un tratamiento de los datos que figuran en los ficheros resulta necesaria la existencia de unos motivos fundados y legítimos 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos: . • la negativa del responsable del fichero a la oposición de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de oposición. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud. 6. En el caso de que el responsable del fichero no disponga de datos personales deberá comunicarlo en el mismo plazo de 10 días.


ANEXO F.5. Formulario de ejercicio del derecho de supresión (1)


(2).

Nombre / razón social: _______________________________ Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza ___________________________________. nº _____. C.Postal _________ Localidad ________________________________________ Provincia _________________________ Comunidad Autónoma _______________ C.I.F./D.N.I. ________________ DATOS DEL INTERESADO O REPRESENTANTE LEGAL

(3).

D./ Dª. _____________________________________________________, mayor de edad, con domicilio en la C/Plaza ____________________________________________ nº____ Localidad ____________________________ Provincia _____________________ C.P. _______. Comunidad Autónoma ______________________ con D.N.I_____________, del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 17 del Reglamento Europeo 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, y en consecuencia,

SOLICITA,

Que se proceda a acordar la cancelación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo

de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la cancelación

practicada.

Que en caso de que se acuerde dentro del plazo de diez días hábiles que no procede acceder a practicar total o parcialmente las

cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de

Protección de Datos, al amparo del artículo 17 del citado Reglamento Europeo 2016/679 de 27 de abril de 2016.

Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable del fichero la cancelación

practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de

transparencia de la información a que se refiere el artículo 12 del Reglamento Europeo 2016/679 de 27 de abril de 2016.

En ______________a ___ de _____________ de 20___.

Firmado

(1) Consiste en la petición de cancelación de un dato que resulte innecesario o no pertinente para la finalidad con la que fue recabado. El dato será bloqueado, es decir, será identificado y reservado con el fin de impedir su tratamiento. (2) Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (3) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE OPOSICION.

1. El presente formulario se utilizará por el afectado cuando desee cancelar y bloquear datos inexactos existentes en un fichero. 2. Para probar el carácter inexacto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos: . • la negativa del responsable del fichero a la cancelación de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de cancelación. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud. 6. Sin perjuicio del ejercicio del derecho de cancelación, a tenor del art. 12, 17 del Reglamento Europeo 2016/679 de 27 de abril de 2016, los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.


Propiedad intelectual.

Alvire Consulting, S.L. es titular de los derechos de propiedad intelectual respecto de esta

documentación. Únicamente cede los derechos de utilización de la citada documentación a BODEGAS

ARRAYAN, S.L., para el cumplimiento de sus obligaciones respecto de la normativa vigente en materia de

privacidad, sin que la presente autorización de uso comporte transferencia o cesión, parcial o total de dicha

titularidad, ni autorización para su utilización con objeto distinto. A tal fin, el responsable del tratamiento se

obliga a no reproducir la documentación, no transmitirla, ni modificarla, adaptarla –salvo en aquellos casos

en que resulte necesario para el cumplimiento de la finalidad de la documentación–, cederla, alquilarla, o

prestarla ni realizar ningún tipo de actividad sobre la misma sin autorización del encargado del tratamiento ni

divulgarla, publicarla, ni ponerla a disposición de terceros ajenos a BODEGAS ARRAYAN, S.L.

Bibliografía: GUIA DE SEGURIDAD INFORMATICA - SEDISI (Asociación Española de Empresas de Tecnologías de la Información) PLAN DE PREVENCION DE RIESGOS LABORALES – Fraternidad-Muprespa. IMPLEMENTACIÓN PRÁCTICA DE POLÍTICAS DE SEGURIDAD: La S.G.T.I. del MEC. REQUERIMIENTOS DE INFORMACIÓN PARA AUDITORIA INFORMÁTICA – PriceWaterhouseCoopers. GUÍA DE DOCUMENTO DE SEGURIDAD - Agencia Española de Protección de Datos RECOMENDACIONES DIRIGIDAS A USUARIOS DE INTERNET - Agencia Española de Protección de Datos ELABORACIÓN DEL PLAN DE RECUPERACION ANTE DESASTRES – Cidicom soluciones, Ing. María Victoria Bisogno. PLAN DE CONTINUIDAD DE NEGOCIO - Ed.Díaz de Santos, Juan Gaspar Martínez. GUIA PRÁCTICA PARA EL DESARROLLO DE PLANES DE CONTINGENCIA DE SISTEMAS DE INFORMACIÓN – Instituto Nacional de Estadística e

Informática de Perú. MODELO DE DOCUMENTO DE SEGURIDAD LOPD – Comunidad de Madrid. Directrices sobre los delegados de la protección de datos (DPD), Adoptado el 13 de diciembre de 2016 por el GRUPO DE TRABAJO DEL

ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS.(1) Guía para el cumplimiento del deber de informar (AEPD). Guía La protección de datos en las relaciones laborales (AEPD). Realizar la evaluación de impacto relativa a la protección de datos personales (EIPD) – Asociación Profesional Española de Privacidad.

Documento desarrollado por:

Alvire Consulting, S.L.

Av/Guadalajara, 36 J 5ºA

28032 Madrid

(1)

Este Grupo de Trabajo se creó de conformidad con el artículo 29 de la Directiva 95/46/CE. Se trata de un órgano consultivo independiente de la

UE en materia de protección de datos y privacidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y el artículo 15 de la Directiva 2002/58/CE. De su secretaría se ocupa la Dirección C (Derechos fundamentales y Estado de derecho) de la Comisión Europea, Dirección General de Justicia y Consumidores, Bruselas B-1049, Bélgica, Despacho n.º MO59 02/27. Sitio web: http://ec.europa.eu/justice/data-protection/index_en.htm.

tomás fernández piñeiro · 2018-10-16 · bodegas arrayan, s.l. 2018 tomás fernández piñeiro...

Documents