Política de Privacidad

1.- Introducción

De acuerdo con lo que establece RGPD en lo que respecta a los datos de carácter personal, y en defensa de los intereses de los titulares de dichos datos de carácter personal, el uso y tratamiento que se realice de sus datos estará sujeto a esta política de privacidad.

A los efectos de este documento, se entenderá por “FOUR PIXELS INTERACTIVE S.L” a:

FOUR PIXELS INTERACTIVE S.L., Julián Camarillo 10 Madrid
2.- Ámbito de aplicación

La normativa de protección de datos será aplicable al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

3.- Marco legal de referencia

Constitución Española
(RGPD). Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de Abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
(RGPD). REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), los titulares de los datos de carácter personal tienen una serie de derechos personalísimos (art. 12 – art. 21) en relación con sus datos de carácter personal: derecho de acceso, rectificación, cancelación, oposición al tratamiento o cese en el tratamiento, al olvido, a la limitación de tratamiento y de portabilidad.
LO 15/99 de 13 de diciembre de Protección de Datos de Carácter Personal.
Real Decreto 1720/2007, 21 de diciembre, por el cual se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
4.- Definiciones

4.1. Datos de carácter personal

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

4.2. Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

4.3. Limitación del tratamiento

El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

4.4. Elaboración de perfiles

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

4.5. Seudonimización

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

4.6. Fichero

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

4.7. Responsable del tratamiento» o «responsable

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

4.8. Encargado del tratamiento o encargado

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

4.9. Destinatario

La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que 4.5.2016 L 119/33 Diario Oficial de la Unión Europea ES puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

4.10 Tercero

Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

4.11 Consentimiento del interesado

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

4.12 Violación de la seguridad de los datos personales

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

4.13 Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

4.14 Datos biométricos

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

4.15 Datos relativos a la salud

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

4.16 Establecimiento principal

a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

4.17 Representante

Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

4.18 Empresa

Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

4.19 Grupo empresarial

Grupo constituido por una empresa que ejerce el control y sus empresas controladas;

4.20 Normas corporativas vinculantes

Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

4.21 Autoridad de control

La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51; 4.5.2016 L 119/34 Diario Oficial de la Unión Europea ES

4.22 Autoridad de control interesada

La autoridad de control a la que afecta el tratamiento de datos personales debido a que:

El responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;
Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o
Se ha presentado una reclamación ante esa autoridad de control;
4.23 Tratamiento transfronterizo

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

4.24 Objeción pertinente y motivada

La objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

4.25 Servicio de la sociedad de la información

Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);

4.26 Organización internacional

Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

5.- Contenido

La implementación de la normativa de protección de datos exige la definición de un plan de adecuación que ha de comenzar con la identificación de todos los ficheros y tratamientos de datos personales, tanto automatizados como manuales, que se lleven a cabo dentro de FOUR PIXELS INTERACTIVE S.L. y el análisis de cómo están interconectados. Se debe definir el flujo o recorrido de los datos a lo largo de su tratamiento a fin de identificar (RAT: Registro de Actividades de Tratamiento)

Qué datos personales se recogen y para qué finalidad
Cómo se recogen (formularios, electrónicamente, telefónicamente….).
Quién los trata (áreas, departamentos…).
Cómo circulan dentro de la entidad (en soporte papel, telemáticamente…).
A quién se ceden o qué transferencias internacionales se llevan a cabo.
Cómo se conservan o cómo se destruyen.
El resultado de este análisis ha de ser un inventario de los ficheros y tratamientos de datos personales respecto a los cuales se deberán de implementar todos los requerimientos de la normativa de protección de datos.

 

6.- Recogida de datos

Las fuentes de recogida de datos según la legislación vigente en materia de protección de datos de carácter personal son:

Consentimiento del interesado.
Fuentes accesibles al público.
7.- Principios de la protección de datos

Calidad
Información
Deber de secreto
Datos especialmente protegidos
Consentimiento
Cesiones
Prestación de servicios
Ejercicio de derechos
Medidas de seguridad
7.1. Calidad

En primer término, cualquier entidad que trata datos personales debe analizar si el tratamiento de conformidad con el principio de calidad de los datos personales es legítimo, principio esencial del derecho fundamental a la protección de datos.

El principio de calidad de los datos exige que:

Los datos personales que se recogen y se tratan sean únicamente los adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades a las cuales se destinen (principio de proporcionalidad).
Las finalidades para las cuales estos datos personales se recogen y se someten a tratamiento han de ser determinadas, explícitas y legítimas.
Son también requerimientos del principio de calidad de los datos que:

Los datos personales no se utilicen para finalidades incompatibles con el objetivo para el cual los datos van a ser recogidos. La RGPD define como compatible el tratamiento posterior de los datos para finalidades históricas, estadísticas y científicas.
Los datos personales sean exactos y puestos al día con la finalidad de que respondan a la veracidad de las situaciones de los afectados. La actualización se debe llevar a cabo no sólo a petición del interesado en ejercicio de derecho de rectificación, sino también de oficio en el mismo momento en que la entidad tenga conocimiento de la inexactitud.
Se cancelarán los datos personales cuando pasen a ser inexactos o incompletos o cuando ya no sean necesarios o pertinentes de acuerdo con la finalidad para la cual fueron recogidos o registrados.
Sean anónimos los datos personales o se desasocie la información cuando la identificación del interesado ya no sea necesaria para las finalidades de acuerdo con las cuales los datos hayan sido recogidos o registrados. Así, por ejemplo, se pueden hacer anónimas para realizar estadísticas realizadas por el departamento de calidad de FOUR PIXELS INTERACTIVE S.L.
Se almacenen los datos personales de manera que se permita el ejercicio eficaz del derecho de acceso del interesado, excepto en los supuestos de cancelación.
No se recojan datos personales para medios fraudulentos, desleales o ilícitos.
7.2. Información

Tal y como establece el Reglamento General sobre la Protección de Datos (RGPD).antes de proceder a la recogida de datos personales se ha de informar a los titulares de manera expresa, precisa e inequívoca:

de la existencia de un tratamiento de datos de carácter personal,
de la identidad del Responsable del Tratamiento
de la existencia, si lo hubiera de un DPD (Delegado de protección de datos)
de la manera de ponerse en contacto con el responsable del Tratamiento y con el DPD
del plazo de conservación de los datos personales.
de la/s finalidad/es de la recogida de los datos y de los destinatarios de la información;
de las legitimidad del Responsable para cada tratamiento.
del carácter obligatorio o facultativo de la respuesta a las preguntas que se planteen;
de las consecuencias de la obtención de los datos o de la negativa a suministrarlos;
de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
de la posibilidad, en cualquier momento, de retirar el consentimiento para el tratamiento de sus datos personales.
de la posibilidad de interponer una reclamación ante la autoridad de control (Agencia Española de Protección de Datos AEPD)
En los casos que para la recogida de los datos se utilicen cuestionarios o impresos se ha de hacer constar la información anterior de manera claramente legible. Esta información se debe facilitar, en todo caso, con independencia del sistema de recogida de los datos que se utilice. Así, en el caso de recogida telefónica de datos se pueden, por ejemplo, diseñar argumentos para que los operadores que recogen los datos faciliten el derecho de información.

Si los datos no se recogen directamente de su titular se le tiene que informar de manera expresa, precisa e inequívoca:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; 4.5.2016 L 119/41 Diario Oficial de la Unión Europea ES
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
g) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
h) cuando el tratamiento se base en el artículo 6, apartado 1, letra f del RGPD, los intereses legítimos del responsable del tratamiento o de un tercero;
i) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos; j) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) del RGPD, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
k) el derecho a presentar una reclamación ante una autoridad de control;
l) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
m) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 del RGPD y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
El deber de informar al titular de los datos es una de las principales obligaciones del responsable del fichero, dado que permite garantizar el pleno ejercicio del derecho a la protección de los datos personales, ya que tiene como misión fundamental dar la información necesaria a su titular para controlar, de manera efectiva, los tratamientos que se llevan a cabo con sus datos.

El derecho de información no se ha de confundir con la necesidad de obtener el consentimiento para determinados tratamientos.

Así, en el momento de iniciar un nuevo tratamiento se debe hacer un análisis previo que permita la definición exacta del tratamiento que se quiere llevar a cabo para informar al titular de los datos de la manera más precisa posible.

7.3. Deber de secreto

Los responsables del fichero y todos los participantes en el proceso de gestión de los datos personales están obligados al secreto profesional. Este deber se mantiene una vez extinguida la relación que daba lugar al tratamiento de los datos.

Así, es recomendable incorporar y definir esta obligación en los contratos laborales y en los procedimientos internos y en las regulaciones específicas que recogen los derechos y las obligaciones de los usuarios, de los encargados del tratamiento y de los responsables del tratamiento con el fin de dar a conocer el contenido y concienciar sobre su aplicación y su cumplimiento.

7.4. Consentimiento

El consentimiento es el eje central en la regulación del derecho a la protección de datos personales, ya que, como regla general, para el tratamiento de los datos de carácter personal es necesario el consentimiento inequívoco de su titular.

Así mismo, no será necesario el consentimiento cuando los datos personales:

Cuando se refiera a las partes de un contrato o precontrato de una relación laboral, de negocios o administrativa y sean necesarios para su mantenimiento o cumplimiento.
Cuando el tratamiento de los datos tenga como finalidad proteger un interés vital del interesado.
Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero.
Cuando el tratamiento se ampare a una Ley o norma con rango de Ley.
7.5. Datos especialmente protegidos

Son datos especialmente protegidos de acuerdo con aquello que establece el Reglamento General sobre la Protección de Datos (RGPD)., estableciéndose unas garantías especiales en la su recogida (consentimiento expreso y en algunos casos también por escrito) los datos de carácter personal que revelen:

Ideología
Afiliación sindical
Religión
Creencias
Origen racial
Salud
Vida sexual
7.6. CESIONES O COMUNICACIONES DE DATOS

La cesión o comunicación de datos personales se define como cualquier revelación de datos a una persona diferente de su titular.

Se diferencian las cesiones o comunicaciones de las transferencias internacionales, ya que tienen una regulación específica. Son transferencias internacionales las comunicaciones de datos que tienen como destinatario un responsable situado fuera del territorio de la UE.

En términos generales, la comunicación de datos de carácter personal requiere o bien la obtención del consentimiento del interesado o titular de los datos o bien la existencia de una habilitación expresa prevista en una norma con rango de ley.

Es necesario diferenciar la cesión de datos del acceso a los datos por parte de terceros como consecuencia de la prestación de un servicio. En este último caso, la ley prevé específicamente la figura del encargado de tratamiento que es un tercero, persona o entidad, que trata datos de carácter personal por cuenta del responsable del fichero.

Este acceso por parte de un encargado de tratamiento no es calificado por la normativa como cesión o comunicación de los datos y no le es aplicable el régimen de autorización o habilitación legal, pero sí que requiere la formalización de un contrato o convenio entre el responsable y el encargado que ha de prever las obligaciones de las partes, las medidas de seguridad aplicables con indicación expresa que los datos deberán ser devueltos al responsable o ser destruidos una vez finalizado el servicio.

Los tratamientos de datos personales por parte de entidades están sujetas al régimen general previsto de acuerdo al Reglamento General sobre la Protección de Datos (RGPD).que prevé excepciones a la regla general del consentimiento del interesado en diversos supuestos, entre otros, cuando la comunicación tiene como destinatario el Defensor del Pueblo, el Ministerio Fiscal, los Jueces o tribunales, o cuando la cesión de datos relativos a la salud es necesaria por razón de una urgencia.

Finalmente, respecto a las transferencias internacionales que tengan como destinatario países que no proporcionan un nivel de protección equiparable al previsto en la RGPD es necesario obtener la autorización previa del director de la Agencia Española de Protección de Datos..

7.7. Prestaciones de servicios

Las comunicaciones o accesos de datos realizados por un tercero para la prestación de un servicio al responsable del tratamiento no se considerarán cesiones propiamente dichas.

Estas prestaciones de servicios deberán estar reguladas contractualmente, constando por escrito y de acuerdo con los requisitos que establece la RGPD

La comunicación de datos realizada en una prestación de servicios que no esté regulada por escrito se podrá considerar cesión ilícita de datos.

En consecuencia la empresa o entidad cesionaria de los datos será considerada también responsable del fichero, y responderá ante de los incumplimientos de la normativa en los que haya incurrido.

7.8. Ejercicio de derechos

El derecho a la protección de datos de carácter personal atribuye a su titular un conjunto de potestades o derechos para garantizar y controlar los tratamientos de sus datos personales por parte de terceros. Regulados de acuerdo al Reglamento General sobre la Protección de Datos (RGPD). Estos derechos son:

Derecho de acceso: derecho a solicitar y obtener información de sus datos personales sometidos a tratamiento, sobre su origen y las comunicaciones efectuadas o las que se prevén hacer.
Derecho de rectificación: derecho a rectificar y corregir los errores o las incorrecciones que en todo o en parte presenten los datos personales. Este derecho responde a las exigencias del principio de calidad de los datos personales, que exige que los datos sean exactos y se pongan al día de manera que respondan con la veracidad a la situación actual del afectado.
Derecho de cancelación: derecho a cancelar los datos cuando dejen de ser necesarios o pertinentes para la finalidad que legitimó la obtención.
Derecho de oposición: derecho a oponerse al tratamiento de los datos personales atendiendo a motivos fundamentales y legítimos relativos a una situación personal concreta, en aquellos casos en que el consentimiento para el tratamiento no sea exigido y siempre que una ley no establezca lo contrario.
Derecho de limitación del tratamiento:
derecho a la portabilidad de sus datos personales: El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Los titulares de los datos ejercerán sus derechos ante los responsables de los ficheros o de las unidades designadas a este efecto, y se habrá de definir un procedimiento interno para garantizar el ejercicio. Así, por ejemplo, se pueden designar las áreas relacionadas con el responsable de seguridad de FOUR PIXELS INTERACTIVE S.L. como puntos de recepción de las solicitudes del ejercicio de derechos y que éstas gestionen la respuesta ante estas situaciones.

En cualquier caso, todo el personal de FOUR PIXELS INTERACTIVE S.L que en un momento concreto puedan atender este tipo de situaciones, ha de estar en disposición de informar a los interesados de dónde y cómo pueden ejercer sus derechos.

Este procedimiento debe ser conforme a los requerimientos siguientes:

Los derechos de acceso, rectificación, cancelación y oposición, dada su naturaleza de derechos personalísimos, los puede ejercer únicamente su titular o la persona que ostenta la representación; en todo caso, la identidad de la persona que ejerce el derecho deberá de ser debidamente acreditada mediante la correspondiente documentación.
Toda petición de ejercicio de derechos, presentada ante el responsable o del área designada al efecto, ha de ser contestada formalmente, con independencia que los datos de la persona afectada figuren o no en los correspondientes ficheros de datos personales. La respuesta se debe facilitar a través de un medio que permita acreditar la recepción.
El derecho de acceso se puede garantizar mediante la mera consulta de los datos, ya sea a través de la visualización o de la indicación de los datos que son objeto de tratamiento, por medio de escrito, copia, o fotocopia, certificada o no, en formato legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Este derecho sólo se puede ejercer a intervalos no inferiores a 12 meses, salvo que se acredite un interés legítimo a este efecto. El responsable del fichero o tratamiento debe resolver la petición de acceso en el plazo de un mes. Si la resolución fuera estimatoria será necesario hacer efectivo el acceso en el plazo de 10 días e informar de cuáles son los datos objeto de tratamiento, de su procedencia y finalidades y usos a que son destinados y de las comunicaciones a terceros. Si los datos provienen de diferentes fuentes, será necesario indicarlas.
La solicitud de ejercicio del derecho de rectificación debe indicar el dato que es erróneo y la corrección que ha de realizarse, que se deberá acreditar por medio de la documentación que corresponda, salvo que la rectificación dependa exclusivamente del consentimiento del interesado. El responsable del fichero debe rectificar los datos en los 10 días siguientes al día de la recepción de la petición. Si los datos rectificados se han cedido previamente, el responsable del fichero ha de notificar al destinatario de los datos la rectificación efectuada en el mismo plazo.
La solicitud de cancelación de datos personales ha de indicar que el titular revoca el consentimiento prestado para el tratamiento de sus datos, o si se trata de un supuesto de datos erróneos o inexactos también ha de aportar la documentación acreditativa de este hecho. Si es procedente, la cancelación dará lugar al bloqueo de los datos; únicamente se conservarán a disposición de las administraciones públicas, jueces y tribunales para atender posibles responsabilidades nacidas del tratamiento, durante el plazo de su prescripción. Una vez transcurrido este plazo los datos personales se han de suprimir.
El responsable del tratamiento tiene la obligación de hacer efectivo la cancelación del mismo. Esta resolución se debe notificar al interesado y a los terceros que dispongan de estos datos; y estos terceros destinatarios de los datos personales que han de ser objeto de cancelación también han de bloquear o suprimir, según corresponda.
El ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos de carácter personal es gratuito.
7.9. Medidas de seguridad

El responsable del tratamiento, y si es el caso, el encargado del tratamiento han de adoptar las medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal que tratan, para evitar la alteración, la pérdida o el acceso por parte de terceros no autorizados.

Las medidas mínimas que se han de aplicar a los tratamientos de datos de carácter personal se regulan en el Reglamento General sobre la Protección de Datos (RGPD). Estas medidas se han de aplicar teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos los datos personales.

el Reglamento General sobre la Protección de Datos (RGPD) nos habla de medidas técnicas y organizativas pero no nos proporciona un listado de las mismas, dejando a la “responsabilidad proactiva” del responsable el establecer esas medidas. Parece lógico que, no habiendo una Ley de Protección de datos Española que desarrolle el RGPD, nos guiemos, a la hora de establecer las categorías de medidas según la clasificación de la LOPD. Estas medidas se clasifican en tres niveles de seguridad diferentes según la naturaleza de los datos personales: básico, medio y alto.

Las medidas que corresponden al nivel de seguridad básico son aplicables a todos los tratamientos de datos personales.

Las medidas de nivel de seguridad medio se aplican a los tratamientos que contienen datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros y los ficheros relativos a los servicios de información sobre solvencia patrimonial y crédito. Así mismo, en los ficheros que contienen un conjunto de datos personales suficientes que permitan obtener una evaluación de la personalidad del individuo serán aplicables determinadas medidas de seguridad de nivel medio.

Las medidas de seguridad que correspondan al nivel de seguridad alto se aplican a los ficheros o tratamientos que contienen datos relativos a la ideología, religión, creencias, origen racial, salud o vida sexual. Además, se aplican también a los ficheros que contienen datos solicitados para finalidades policiales recogidas sin el consentimiento de los titulares afectados. Es necesario destacar que el nuevo Reglamento Europeo de Protección de Datos elimina el Documento de Seguridad y la inscripción de los Registros en la Autoridad de Control y los sustituye por los RAT (Registro de Actividades de Tratamiento) y lo articula de la siguiente manera:

Art 30. RGPD

“1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales; 4.5.2016 L 119/50 Diario Oficial de la Unión Europea ES
d)las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e)en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
2.Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
3.Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4.El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5.Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”

A partir de ese documento, se realizará un análisis de riesgo de los diferentes tratamientos y, en función del nivel de riesgo detectado en cada uno de ellos, se tomará la decisión de realizar “Evaluaciones de impacto “ en los tratamientos de mayor riesgo.

8.- Difusión de la política de Privacidad

Con fecha 11 de Abril de 2018 se ha difundido la versión actualizada de la política de privacidad de FOUR PIXELS INTERACTIVE S.L entre los trabajadores y usuarios de los sistemas, con la intención de concienciar sobre las implicaciones de la misma en el desarrollo de su actividad diaria.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies