POLÍTICA DE PRIVACIDAD

Índice

Introducción

Este documento expone la Política de Protección de datos personales de GCP MEDIA ESTRATEGIAS DE COMUNICACIÓN SL, como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco del cumplimiento del Reglamento General de Protección de Datos (RGPD).

La información personal es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de nuestra organización. Este activo debe ser adecuadamente protegido, mediante las necesarias medidas de seguridad, frente a las amenazas que puedan afectarle, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su conocimiento, procesado o tratamiento.

Mantener la privacidad y seguridad de los datos personales es proteger este activo, con la finalidad de garantizar el respeto a los derechos y libertades tanto de las personas a las que pertenecen como a cualquier persona física que pudiera de algún modo verse afectada, asegurar la calidad de la información y la continuidad del negocio, minimizar el riesgo tanto para los derechos y libertades de las personas físicas como para la seguridad de la información y permitir maximizar el retorno de las inversiones y las oportunidades de negocio.

La privacidad es un proceso que requiere medios técnicos y humanos, una adecuada gestión y definición de los procedimientos, mecanismo de responsabilidad demostrable, y, por lo tanto, es fundamental la máxima colaboración e implicación de todas la personas, internas o externas, que participan en su desarrollo.

La dirección de esta organización, consciente del valor de proteger la información personal, está profundamente comprometida con la Política descrita en este documento.

 

Definiciones

Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción

Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento

Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento

Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero

Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado

Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica

Limitación del tratamiento: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro

Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Categorías especiales de datos: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida u orientación sexual de una persona física

Autoridad de control: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 del RGPD.

Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.

Sistema de Gestión de la Privacidad y seguridad de los datos personales (SGP): sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la privacidad y seguridad de la información de carácter personal. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Disponibilidad: Es la dimensión de seguridad necesaria para garantizar que los recursos se encontrarán disponibles cuando se necesiten.

Integridad: Es la dimensión de seguridad necesaria para que la información esté disponible tal y como se almacenó por un agente autorizado.

Confidencialidad: Es la dimensión de seguridad necesaria para que la información sólo esté disponible para agentes autorizados.

Autenticidad: Es la dimensión de seguridad necesaria para asegurar la identidad u origen de la información.

Trazabilidad: Es la dimensión de seguridad necesaria para garantizar quién hizo qué y en qué momento.

 

Propósito

El propósito de esta Política de Protección de datos personales es proteger los activos de información personal que la organización precisa para su funcionamiento, asegurando para ello la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y la protección y seguridad de las instalaciones, sistemas y recursos que la procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos de los servicios prestados y la legislación vigente.

 

Alcance

El alcance de esta Política engloba los tratamientos de datos personales que soportan los procesos necesarios, tanto principales como auxiliares y complementarios, para la prestación de los servicios ofrecidos por nuestra organización, incluyendo tanto los que se realizan en nuestras instalaciones como aquellos que, total o parcialmente, puedan ser prestados por nuestra organización en ubicaciones diferentes.

La presente Política se aplica a todas las personas, sistemas y medios que accedan, traten, almacenen, transmitan o utilicen la información personal conocida, gestionada o bajo tratamiento de la organización para los procesos descritos.

El personal sujeto a esta Política incluye a todas las personas con acceso a la información personal descrita, independientemente del soporte en el que se encuentre esta y de si el individuo es empleado o no de nuestra organización. Por lo tanto, también se aplica a los contratistas, clientes o cualquier otra tercera parte que tenga acceso a la información personal, a los sistemas de información empleados para su tratamiento o a las instalaciones que se emplean para su custodia o tratamiento.

Para garantizar que los procesos de privacidad y seguridad de la información personal implantados será actualizados y mejorados de forma continua, se implantará y documentará un Sistema de Gestión de la Privacidad y Seguridad de los datos personales (SGP). De esta forma, el contenido de la Política de Protección de datos personales será desarrollado en normas y procedimientos e incluidos en el SGP.

 

Contexto

El contexto describe los aspectos que ayuden a comprender el alcance especificado en esta Política de Protección de datos personales.

Misión

Nuestra misión es servir a las personas que así lo demanden mediante los siguientes servicios:
Servicios de Banding, Estrategias de Comunicación, Desarrollo Web, Servicios de Social Media, Producción, Marketing Digital, Media Planning, Relaciones Públicas y Eventos

Organigrama

La estructura de nuestra organización se compone de las siguientes áreas:

  • Dirección
  • Área de Diseño y Producción
  • Área de Marketing
  • Área de Recursos Humanos
  • Área de Contabilidad y Finanzas

Las responsabilidades de cada uno de los agentes descritos en este organigrama, desde la perspectiva de esta Política, se encuentran descritas en el apartado “Roles, responsabilidades y deberes” de esta Política.

Descripción de los flujos de información personal

Para cada uno de los servicios descritos en esta Política, tanto los conjuntos de datos personales como los flujos de información personal necesarios para su desarrollo se encuentran descritos en los correspondientes documentos de estructura y organización de nuestra entidad.

Requisitos de los actores principales

Siempre referidos al alcance descrito, los diferentes actores principales que participan en la actividad de nuestra organización presentan los siguientes requisitos:
Nuestros clientes requieren:

  • La protección de la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de sus datos personales, y de los datos personales de sus propios clientes sometidos a tratamiento por nuestra parte.
  • Respeto para los derechos y libertades de los clientes, y de sus propios clientes, en lo referente al tratamiento de sus datos personales y a las consecuencias que dichos tratamientos pudieran tener sobre ambos.
  • La protección de la información personal de manera que se eviten riesgos, errores o fallos en los servicios que les son prestados.
  • El cumplimiento de las condiciones de servicio definidos en los acuerdos entre los clientes y nuestra organización.
  • Cumplimiento de la legislación vigente.

La dirección de nuestra organización requiere:

  • Cumplir los requerimientos de servicio exigidos en los acuerdos con nuestros clientes.
  • Proporcionar a los clientes el soporte y el servicio que estos puedan necesitar para disfrutar el servicio proporcionado en el alcance establecido.
  • Proteger los activos de datos personales de nuestra organización.
  • La aplicación de las mejores prácticas de privacidad y seguridad de la información personal respecto al alcance descrito.
  • Maximizar el retorno de la inversión.
  • Potenciar la imagen corporativa de nuestra organización y su reputación a través del compromiso del cumplimiento legal.

Nuestros empleados requieren:

  • Procedimientos y herramientas que les permitan mantener los aspectos de seguridad y privacidad que se les exige, mediante la aplicación de esta Política, en los soportes y sistemas que precisan utilizar para su desempeño.
  • Les sean proporcionadas las formaciones y actividades de concienciación que les permitan cumplir con sus obligaciones respecto a la privacidad de los datos personales.
  • El respeto y protección de sus propios datos personales, como si de cualquier ciudadano se tratase.
  • El respeto por su derecho a la desconexión digital, en los términos legal y convencionalmente establecidos, que les permitan disfrutar de su descanso sin injerencias e interrupciones no justificadas.

Objetivos y Fundamentos de esta Política

La información personal debe ser protegida durante todo su ciclo de vida, desde su creación o recepción, durante su procesamiento, comunicación, transporte, almacenamiento, difusión y hasta su eventual borrado o destrucción, o cualquier otra operación de tratamiento. Por ello, se establecen los siguientes principios mínimos:

  • Principio de confidencialidad: la información personal deberá estar accesible únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y confidencialidad.
  • Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información personal, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información personal contribuyen a preservar su exactitud y corrección.
  • Principio de disponibilidad y continuidad: se garantizará un nivel de disponibilidad en los datos personales y se dotarán los planes y medidas necesarias para asegurar la continuidad de los servicios que los tratan y la recuperación ante posibles contingencias graves.
  • Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la privacidad y seguridad de los datos personales.
  • Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de los tratamientos de datos personales deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se asegurará que los recursos necesarios para la aplicación de esta Política estén disponibles.
  • Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento de la información personal y ser conscientes de la importancia de preservar la privacidad de la información personal. De igual forma, se fomentará la formación específica en materia de privacidad y seguridad de todas aquellas personas que gestionan y administran los tratamientos, soportes, sistemas de información, telecomunicaciones y seguridad física.
  • Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la privacidad.
  • Principio de detección y respuesta: los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia respondiendo eficazmente, a través de los mecanismos establecidos al efecto, a los incidentes de seguridad.
  • Principio de mejora continua: se revisará el grado de cumplimiento
    de los objetivos de mejora de la privacidad y seguridad planificados y
    el grado de eficacia de los controles implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico actual.
  • Principio de licitud y transparencia: se articularán mecanismos que permitan garantizar que el tratamiento de datos personales sea realizado en todo momento de forma lícita, leal y transparente en relación con su titular, el interesado.
  • Principio de exactitud y limitación de la finalidad: se garantizará que los datos personales objeto de tratamiento sean recogidos con fines determinados, explícitos y legítimos y no serán tratados posteriormente de manera incompatible con los fines que motivaron su tratamiento. Asimismo, solo serán tratados los datos personales que sean exactos y se adoptarán medidas razonables para su continua actualización y/o rectificación en caso de ser inexactos.
  • Principio de minimización de datos: serán objeto de tratamiento únicamente aquellos datos personales que sean adecuados, pertinentes y estrictamente necesarios para el cumplimiento de la finalidad que motiva el tratamiento, y no serán mantenidos durante más tiempo del necesario para cumplir con dicha finalidad.
  • Principio de privacidad desde el diseño: se aplicarán, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, concebidas para aplicar de forma efectiva los principios de protección de datos personales e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos de la legislación vigente y proteger los derechos de los interesados.
  • Principio de privacidad por defecto: se garantizará que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Este principio se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad, garantizando, en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
  • Principio de responsabilidad proactiva (Responsabilidad demostrable): la organización adoptará todas las medidas que sean necesarias para cumplir todos estos principios y estar, en todo momento, en posición de demostrar dicho cumplimiento.

Esta Política de Protección de datos personales es aprobada por la Dirección de nuestra organización y su contenido y el de las normas y procedimientos que la desarrollan es de obligado cumplimiento.

  • Todos los usuarios con acceso a la información personal tratada por nuestra organización tienen la obligación y el deber de custodiarla y protegerla.
  • La Política y las Normas de Privacidad y Seguridad se adaptarán a la evolución de los sistemas y de la tecnología y a los cambios organizativos y legales y con los estándares y mejores prácticas de las
    normas de reconocimiento internacional, así como a los códigos de conducta que puedan aparecer.
  • Las medidas de seguridad y los controles físicos, administrativos y técnicos aplicables se detallarán en las Normas, Procedimientos, Manuales e Instrucciones que desarrollan esta Política y esta Dirección deberá establecer una planificación para su implantación y gestión.
  • Las medidas de seguridad y los controles establecidos serán proporcionales a la criticidad de la información a proteger, al nivel de daños y perjuicios que pudieran provocar a los derechos y libertades de las personas físicas y a su clasificación.
  • Los usuarios que incumplan esta Política de Protección de datos personales o sus normas y procedimientos complementarios podrán ser sancionados de acuerdo con lo establecido en los contratos que amparen su relación con esta organización y con la legislación vigente y aplicable.

 

Requisitos Legales

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril del 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
  • Ley 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

 

Clasificación de la Información

La información se clasificará de acuerdo con la sensibilidad requerida en su tratamiento y a los niveles de seguridad y privacidad exigibles según el riesgo.

  • Se establecerán criterios de clasificación de la información en base al nivel de conocimiento público o interno (en diferentes niveles).
  • Se establecerán criterios para diferencias los conjuntos de datos personales en base a los riesgos inherentes a su tratamiento para los derechos y libertades de sus titulares (los interesados).
  • Se establecerán mecanismos de identificación de los documentos que soportan el desarrollo de esta Política, junto con información tanto de su creación y revisión como de las personas y/o áreas responsables de su desarrollo y aprobación.

 

Roles, Responsabilidades y Deberes

La dirección asignará y comunicará las responsabilidades, autoridades y roles en lo referente a la privacidad y seguridad de la información personal. También se asegurará de que los usuarios conocen, asumen y ejercen las responsabilidades, autoridades y roles asignados.

Usuarios

Toda persona o sistema que acceda a la información personal tratada por nuestra organización se considerará un usuario. Los usuarios son responsables de su conducta cuando, en el desarrollo del tratamiento, acceden a la información personal o utilizan los sistemas de información o acceden a los lugares o soportes que la contienen y/o custodian. El usuario es responsable de todas las acciones realizadas utilizando sus identificadores o credenciales personales.

Los usuarios tienen la obligación de:

  • Cumplir la Política de Protección de datos personales y las normas, procedimientos e instrucciones complementarias.
  • Proteger y custodiar la información personal bajo tratamiento, evitando la revelación, emisión al exterior, modificación, borrado o destrucción accidental o no autorizadas o el mal uso independientemente del soporte o medios por el que haya sido accedida o conocida.
  • Conocer y aplicar esta Política, las Normas de Uso de los Sistemas de Información y el resto de políticas, normas, procedimientos y medidas de privacidad y seguridad aplicables que le afecten.
Dirección

La dirección de nuestra organización está profundamente comprometida con la Política descrita en este documento y es consciente del valor de la información personal y del grave impacto personal, económico y de imagen que puede producir un incidente de seguridad.

La dirección asume, por tanto, las siguientes responsabilidades:

  • Demostrar liderazgo y compromiso con respecto al desarrollo y la aplicación del Sistema de Gestión de la Privacidad
  • Asegurar que se establecen la política y los objetivos de privacidad y seguridad y que estos son compatibles con la dirección estratégica de la organización.
  • Aprobar y comunicar la Política de Privacidad de datos personales, las Normas y Procedimientos que la desarrollan y la importancia de su cumplimiento a todos los usuarios, internos o externos, y a los demás agentes a quienes deba interesar.
  • Reunirse al menos una vez al año, y cuando cualquier evento o solicitud extraordinaria lo demande, con el Responsable de Privacidad y con el Delegado de Protección de Datos, de ser designado, para ser informados sobre el SGP y actualizar la estrategia en materia de privacidad y seguridad.
  • Fomentar una cultura corporativa de privacidad y seguridad de la información de carácter personal.
  • Apoyar la mejora continua de los procesos de privacidad y seguridad de los datos personales.
  • Asegurar que están disponibles los recursos necesarios para el cumplimiento de esta Política y para el funcionamiento del sistema de gestión de la privacidad (SGP).
  • Definir el enfoque para el análisis y la gestión de los riesgos inherentes a los tratamientos de datos personales y los criterios para asumir los riesgos y asegurar la evaluación de los mismos de manera periódica.
  • Asegurar que se realizan auditorías internas sobre la privacidad y seguridad de los tratamientos y que se revisan sus resultados para corregir deficiencias e identificar oportunidades de mejora.
  • Definir y controlar el presupuesto para mantener la privacidad y seguridad de los datos personales.
  • Aprobar los planes de formación y las mejoras y proyectos relacionados con la privacidad y seguridad de la información personal y su tratamiento.
  • Aprobar la documentación del SGP hasta el segundo nivel de normas y procedimientos.
  • Determinar las medidas, sean disciplinarias o de cualquier otro tipo, que pudieran aplicarse a los responsables de violaciones de seguridad en la información personal tratada o en vulneraciones de lo establecido en esta Política y en los procedimientos y normas que la desarrollan.
Responsable de la Privacidad

La persona u órgano con el cargo de Responsable de la Privacidad asumirá las siguientes funciones:

  • Promover la privacidad y seguridad de la información personal y de los servicios prestados a través de su tratamiento, con la responsabilidad y autoridad para asegurarse de que el Sistema de Gestión de la Privacidad cumple con los requisitos establecidos por la organización y por la legislación vigente.
  • Supervisar el cumplimiento de la presente Política, de sus normas, procedimientos derivados y de la configuración de seguridad y privacidad de los tratamientos.
  • Establecer las medidas encaminadas a preservar la privacidad y seguridad de los datos personales que sean adecuadas y eficaces para cumplir los requisitos establecidos por la organización y la legislación.
  • Promover las actividades de concienciación y formación en materia de privacidad y seguridad en su ámbito de responsabilidad.
  • Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al RGPD, en colaboración con el Delegado de Protección de Datos, de ser nombrado.
  • Realizar, con la colaboración del Delegado de Protección de Datos, en el caso de que este fuera nombrado, los preceptivos análisis de riesgos de los tratamientos de datos personales, seleccionar los controles a implantar y revisar el proceso de gestión del riesgo inherente a los tratamientos. Asimismo, junto a la Dirección, y con la participación del Delegado de Protección de Datos, de ser nombrado, aceptar los riesgos residuales calculados en el análisis de riesgos.
  • Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de privacidad y seguridad y analizar los informes de auditoría, elaborando las conclusiones a presentar a la Dirección, y al Delegado de Protección de Datos, de ser nombrado, para que sean adoptadas las medidas correctoras adecuadas.
  • Coordinar el proceso de Gestión de la Privacidad, en colaboración con la Dirección.
  • Aprobar la relación de controles seleccionados para la correcta aplicación del SGP.
  • Elaborar informes periódicos que incluyan los incidentes más relevantes en cada período, en coordinación con el Delegado de protección de datos, siempre que este estuviera nombrado.
  • Verificar que las medidas aplicadas son adecuadas para la protección de la información personal y los servicios que la precisan.
  • Preparar los temas a tratar en las reuniones de la Dirección, en coordinación con el Delegado de Protección de Datos, de ser nombrado, aportando información puntual para la toma de decisiones.
  • Ser responsable de la ejecución directa o delegada de las decisiones de la Dirección, y reunirse con esta, y con el Delegado de protección de datos, de estar nombrado, al menos con una frecuencia anual, para asegurar la estrategia.

Respecto a la documentación, y apoyándose en el Delegado de protección de datos, de ser nombrado, son funciones del Responsable de la Privacidad:

  • Proponer, a la Dirección, y, en su caso, al Delegado de protección de datos, para su aprobación, la documentación de segundo nivel (Normas y Procedimientos Generales del Sistema de Gestión de la Privacidad –SGP) y firmar dicha documentación.
  • Aprobar la documentación de tercer nivel (Procedimientos Operativos e Instrucciones Técnicas).
  • Mantener la documentación organizada y actualizada, gestionando los mecanismos de acceso a la misma.

Para el desarrollo de cualquiera de sus funciones el Responsable de la Privacidad podrá recabar la colaboración del Delegado de Protección de datos, de encontrarse nombrado, o de cualquier responsable de departamento o área de la organización.

Delegado de Protección de Datos

Siguiendo lo indicado en el RGPD y en la LOPDGDD, el Delegado de Protección de Datos, de ser nombrado, tendrá como mínimo las siguientes funciones:

  • Informar y asesorar al responsable del tratamiento y a sus empleados de las obligaciones que les incumben en relación al RGPD y otras disposiciones de protección de datos.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y en las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluyendo la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además, respecto a este SGP, le corresponden las siguientes funciones y responsabilidades:

  • Dar apoyo, asesoramiento y supervisión a aquellos temas que le sean planteados por el Responsable de la Privacidad y la Dirección.
Responsable del Sistema

Es la persona o departamento encargado de asumir la responsabilidad del funcionamiento de cada sistema de información utilizado para tratar los datos personales. Sus funciones, en referencia a la privacidad y seguridad de la información personal, son las siguientes:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento, y cualquier otra que, al margen del tratamiento de datos personales, le sean asignados.
  • Asegurarse de que las instrucciones y medidas al respecto del tratamiento de datos personales proporcionadas por el Responsable de la Privacidad, previamente aprobadas por la Dirección, sean implementadas en los sistemas de información bajo su responsabilidad.
  • Implantar las medidas necesarias para garantizar la privacidad y seguridad de los datos personales tratados a través del sistema durante todo su ciclo de vida, de acuerdo con el Responsable de la Privacidad.
  • Suspender el tratamiento de una determinada información personal si es informado de deficiencias graves de privacidad y seguridad, previo acuerdo con el Responsable de la Privacidad y la Dirección.
  • Realizar con la colaboración del Responsable de la Privacidad, y bajo supervisión del DPD, los preceptivos análisis de riesgos, seleccionar las salvaguardas a implantar y revisar el proceso de gestión del riesgo.
    Asimismo, junto al Responsable de la Privacidad, aceptar los riesgos residuales calculados en el análisis de riesgos.
  • Elaborar en colaboración con el Responsable de la Privacidad, la documentación de privacidad y seguridad de tercer nivel (Procedimientos Operativos e Instrucciones Técnicas) que afectan a los sistemas de información bajo su responsabilidad.

 

Evaluación de Riesgos

Conocer los riesgos y elaborar una estrategia para gestionarlos adecuadamente es primordial para el desarrollo de esta Política, para el respecto de los principios que en ella se encuentran y para el cumplimiento de la normativa en materia de protección de datos personales, ya que únicamente si se conoce el estado de privacidad y seguridad podrán tomarse las decisiones adecuadas para mitigar los riesgos a los que se enfrenta.

Se utilizará una metodología específica, objetiva y reproducible para analizar los riesgos, alineada con los estándares internacionales reconocidos en la práctica de gestión del riesgo.

Dicha metodología deberá permitir el desarrollo de un análisis detallado de los riesgos que afecten tanto a los derechos y libertades de las personas físicas como a los activos empleados para el tratamiento de los datos personales, y quedará documentada en un documento de Análisis de Riesgos.

La organización debe determinar los niveles de riesgo a partir de los cuales tomará acciones de tratamiento sobre los mismos. El riesgo se considerará aceptable cuando implantar más controles se estime que consumiría más recursos que el posible impacto asociado al propio riesgo que mitigan.

Una vez llevado a cabo el proceso de evaluación de riesgos, la organización será responsable de aprobar los riesgos residuales y los planes de tratamiento de riesgo.

 

Proyectos

Todos los proyectos relacionados o que afecten a los tratamientos de datos personales deberán incluir, en su proceso de análisis, una evaluación de los requisitos de privacidad y seguridad y definir un modelo de gestión consensuado con el Responsable de la privacidad y alineado con lo establecido en esta Política.

En el diseño, implantación y gestión de los tratamientos de datos personales y en los proyectos se tendrán en cuenta y aplicarán los conceptos de privacidad desde el diseño y por defecto, y los controles y medidas para mitigación de riesgos que procedan, y, de estar nombrado, se contará con el asesoramiento del Delegado de Protección de Datos para su diseño y desarrollo.

 

Contratación y adquisiciones

Todas las contrataciones y adquisiciones que supongan o requieran acceso o tratamiento de información personal, deberán realizarse amparadas tanto por la elección diligente del proveedor como por un contrato que incluya cláusulas destinadas a garantizar la salvaguarda de la confidencialidad, integridad y disponibilidad de la información personal.

En aquellos casos en los que los servicios contratados supongan acceso o tratamiento por el proveedor de datos de carácter personal se deberá incluir en el contrato el clausulado requerido para el cumplimiento del Reglamento Europeo de Protección de Datos y de la Ley Orgánica de Protección de Datos de Carácter Personal.

Las empresas y personas que con motivo de contrataciones de servicios o adquisiciones de cualquier tipo accedan a información personal, deberán conocer la Política de Protección de datos personales y las normas y procedimientos complementarios que sean de aplicación para el objeto de la contratación.

Las empresas y personas externas que accedan a la información personal bajo tratamiento de nuestra organización deberán considerar dicha información, por defecto, como confidencial. La única información que podrán considerar como no confidencial es aquella que se haya obtenido a través de los medios de difusión pública o que esté expresamente clasificada como pública.

 

Concienciación, Divulgación y formación

La presente Política de Protección de datos personales debe ser conocida por todos los usuarios internos y externos y por las entidades que accedan, gestionen o traten datos personales bajo tratamiento de esta organización.

El conjunto de Políticas, normas y procedimientos complementarios a esta Política de Protección de datos personales también deberán ser adecuadamente comunicados y puestos en conocimiento de las personas, empresas e instituciones afectadas o implicadas en cada caso.

Se definirán, periódicamente, programas de comunicación, concienciación y formación y se entregará copia de la normativa correspondiente a los usuarios.

 

Respuesta a incidentes de seguridad

Cualquier compromiso de la confidencialidad, integridad o disponibilidad de la información personal bajo tratamiento de nuestra organización se considera un incidente de seguridad.

Esto incluye, entre otros, el acceso, la eliminación, la destrucción, la modificación o la interrupción de la disponibilidad no autorizadas.

También se consideran incidentes de seguridad los meros intentos de compromiso de las condiciones anteriores, los de evitar, alterar o modificar las medidas de privacidad y seguridad o las violaciones o incumplimientos de la Política de Protección de datos personales o de las normas y procedimientos complementarios.

Los usuarios son responsables de informar, de forma inmediata, de cualquier incidente de seguridad, a través de los canales y procedimientos definidos en la organización para la comunicación de incidencias.

 

Revisión y Auditorías

El Responsable de la privacidad revisará esta Política anualmente o cuando haya cambios significativos que así lo aconsejen, y la someterá de nuevo a aprobación por la dirección.

Las revisiones comprobarán la efectividad de la política, valorando los efectos de los cambios legislativos, tecnológicos y de negocio.

La dirección será responsable de aprobar las modificaciones necesarias en el texto cuando se produzca un cambio que afecte a las situaciones de riesgo establecidas en el presente documento.

El sistema de gestión de la privacidad se auditará cada año, según un plan de auditorías desarrollado por el Responsable de la privacidad.

En cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), le informamos que, mediante la aceptación de la presente Política de Privacidad, el usuario (en adelante el “Usuario”) queda informado y presta su consentimiento libre, informado, específico e inequívoco para que los datos personales que facilite a través de la página Web ubicada en la URL https://gcpmedia.es/, (en adelante, el “Sitio Web”) sean tratados por CONSULTORA DE EMPRESAS (en adelante, el “LA EMPRESA”)

1.- Responsable del tratamiento de los datos:

Nombre del titular: Gcpmedia | Estrategias de comunicación S.L.
CIF: B-23591985
Dir. PostalC/ Álamos 17 – 1o Dcha. 23004 – Jaén
Teléfono953 006 613 – 647 627 838
 

 

2.- Finalidades del tratamiento de los datos: La finalidad de los datos recogidos en la web es gestionar la prestación de los servicios solicitados por el usuario, así como permitirle ponerse en contacto con nosotros. En concreto las finalidades de tratamiento serán las siguientes:

  • Posibilitar la prestación de los servicios solicitados por el usuario, atender sus consultas.
  • Para llevar a cabo una correcta facturación y contabilidad.
  • Mantenerle informado de los productos y servicios ofrecidos por LA EMPRESA y el envío de información de nuestro boletín a través de email, y correo postal.

Cuando un Usuario se conecta a este sitio web, y envía sus datos del contacto a través del Formulario Contacto, está facilitando información de carácter personal de la que es responsable LA EMPRESA. Esa información puede incluir datos de carácter personal como pueden ser nombre, dirección de correo electrónico y número de teléfono.

 
Al facilitar esta información, usted como Usuario da su consentimiento para que su información sea recopilada, utilizada, gestionada y almacenada por LA EMPRESA, sólo como se describe en la presente Política de Privacidad.
 
Las finalidades con las que se recogen y gestionan datos por parte de LA EMPRESA son estas en función del formulario:
 
Formulario de Contacto: Solicitamos los siguientes datos personales: nombre, dirección de correo electrónico y número de teléfono, para poder atender las solicitudes de consulta remitidas, así como poder informarle de los servicios ofrecidos por LA EMPRESA.
 

3.- Conservación:
 Los datos personales proporcionados se conservarán mientras se mantenga la relación con la entidad y no se solicite su supresión por el interesado, serán conservados conforme a los plazos legales establecidos en materia fiscal y contable, tomando como referencia la última comunicación.
 
 

4.- Decisiones: 
Esta web NO tomará decisiones automatizadas, perfiles ó lógica aplicada a sus datos.
 
 

5.- Legitimación: 
La base legal para el tratamiento de sus datos es el consentimiento que se requiere con esta política de privacidad y el mantenimiento de la una relación comercial.
 
 

6.- Destinatarios: 
Durante el periodo de duración del tratamiento, LA EMPRESA no realizará ninguna cesión, salvo obligación legal, ni tampoco transferencia alguna de sus datos.
 
 

7.- Derechos:

Podrá ejercitar en todo momento los derechos de acceso, rectificación, cancelación, oposición, olvido y portabilidad:

  • Dirigiéndose por escrito a la dirección C/ Álamos 17 – 1º Dcha. 23004 – Jaén, con la prueba válida en derecho como una fotocopia del D.N.I. o equivalente.
  • A través del email: info@gcpmedia.es

También tiene derecho a la tutela judicial efectiva y a presentar una reclamación ante la autoridad de control, en este caso, la Agencia Española de Protección de Datos, si considera que el tratamiento de datos personales infringe el reglamento.

 
 

8.- Procedencia de los datos:
Los datos personales que tratamos proceden directamente de usted a través de los formularios y cookies bajo su mismo consentimiento.
 
 

9.- Seguridad:
LA EMPRESA cumple con las directrices del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), así como la Ley Orgánica de Protección de Datos y demás normativa vigente en cada momento, y vela por garantizar el correcto uso y tratamiento de los datos personales del usuario.