EMBASUR EMBALAJE DE MADERAS S.L.U. cumple con el citado enfoque proactivo en la seguridad del tratamiento de los datos estableciendo garantías de seguridad adecuadas que eviten, fundamentalmente:

•El tratamiento no autorizado o ilícito de datos personales.

•La pérdida de los datos personales, la destrucción o el daño accidental.

Para determinar las medidas técnicas y organizativas se tiene en cuenta el estado de la técnica, los costes de la aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que éstos pueden generar sobre los derechos y libertades de las personas físicas. El análisis de los riesgos es el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados. 

Para ello, se han definido la naturaleza y los tipos de tratamiento que EMBASUR EMBALAJE DE MADERAS S.L.U. realiza, sus características, finalidades, modos de tratamiento, posibles destinatarios y control del personal con acceso a los datos.

Del análisis de riesgos efectuado se determina si para cada actividad de tratamiento llevada a cabo por la organización, así como cualquier cambio o nueva actividad que se vaya a realizar, se presentan riesgos para los derechos y libertades fundamentales de las personas. Los resultados del análisis de riesgos se recogen en el INFORME DE ANÁLISIS DE RIESGOS correspondiente, documento que evidencia tanto los aspectos analizados como los resultados obtenidos.

Si el resultado del análisis de riesgos determina que el riesgo es reducido no será necesaria ninguna actuación. En caso que el análisis de riesgos determine que existen riesgos elevados, se procede a adoptar las medidas correctivas y preventivas necesarias con el fin de reducir los niveles de riesgo encontrados. Se realizará evaluación de impacto cuando las medidas adoptadas no consigan reducir los riesgos.

Todas actividades de tratamiento llevadas a cabo por la organización se recogen en el Anexo Externo REGISTRO DE ACTIVIDADES DE TRATAMIENTO de la presente política. No sólo se define el alcance de cada actividad: definición de categorías de datos, tipos de datos, operaciones, finalidades, licitudes, orígenes de los datos, destinatarios, ámbito de actuación de cada una, así como la existencia de elaboración o no de perfiles, sino que se analizan los accesos, permisos, trabajadores implicados, tratamientos por encargo y los soportes vinculados a cada actividad.

Cualquier variación de las actividades o de su organización se actualiza en el REGISTRO DE ACTIVIDADES DE TRATAMIENTO que evidencia el firme compromiso de la organización con la protección y el control de los datos personales.

Protección de datos desde el diseño y por defecto

En virtud del art. 25 del Reglamento (UE) 2016/679 y teniendo en cuenta la naturaleza, el ámbito de aplicación, el contexto y la finalidad de los tratamientos indicados en el apartado anterior, la organización tiene implantadas las medidas de seguridad, tanto técnicas como organizativas, que garantizan que los tratamientos son realizados de forma segura.

Asimismo, la organización garantiza que el tratamiento de los datos se analiza con carácter previo y durante la actividad de tratamiento, determinando el alcance del tratamiento, los datos mínimos necesarios para atender la finalidad prevista, la duración del tratamiento, la conservación de los datos y el control de acceso a los mismos.

Para cada actividad de tratamiento y con carácter previo al mismo, cumpliendo con la protección desde el diseño y por defecto, la organización analiza todos los aspectos implicados en la seguridad del tratamiento: los riesgos para las libertades y los derechos de las personas en función a la naturaleza de los datos que se van a solicitar, la finalidad para la que se solicitan, el origen, el tipo de tratamiento, los destinatarios, la posibilidad de realizar transferencias internacionales de los datos, la posibilidad de realizar estudios de perfiles y la cantidad de datos que se esperan tratar.

En base a lo anterior se determinan los medios de tratamiento más adecuados, siendo en cualquier caso, medios técnicos y organizativos que garanticen el cumplimiento del Reglamento (UE) 2016/679.

Durante las actividades de tratamiento la organización adopta las medidas de control, técnicas y organizativas, que se describen en este manual tanto sobre los medios de tratamiento como sobre las personas con acceso a los datos tratados.

La organización garantiza que, por defecto, los datos no son accesibles a un número indeterminado de personas físicas, que sólo son accesibles para las personas autorizadas (tanto encargados del tratamiento como trabajadores de la organización), y a través de medios controlados y supervisados de forma periódica.

En el siguiente apartado se recogen las medidas adoptadas, tanto de índole técnica como organizativa, para la protección de los datos; soportes y modos de almacenamiento, control de accesos, copias de seguridad, compromisos de confidencialidad, etc.

Medidas de seguridad técnicas y organizativas

El Reglamento (UE) 2016/679 indica que las medidas de seguridad deberán ser proporcionales y adecuadas al riesgo detectado en cada actividad de tratamiento.

Las medidas técnicas y organizativas desarrolladas tienen en cuenta:

•Los trabajadores que tienen acceso a datos, estableciendo controles de acceso, determinando y registrando las actividades de tratamiento que realizada cada uno, estableciendo un mecanismo de formación a trabajadores en materia de protección de datos que pueda concienciar y garantizar el conocimiento de las responsabilidades, estableciendo un mecanismo de compromiso de confidencialidad que los trabajadores con acceso a datos se comprometen adoptar con su firma y determinando los trabajadores que asumen ciertas funciones en materia de protección de datos, creando un sistema de nombramientos aceptados.

•Los soportes empleados para el almacenamiento y el tratamiento de los datos, estableciendo un control de soportes, así como las actividades de tratamiento vinculadas a cada uno, las medidas de seguridad de acceso, copiado, borrado, cifrado, etc… y un sistema de control de entradas y salidas.

•La existencia de accesos remotos y servidores externos, ya sean públicos o privados, analizando las características de seguridad ofrecidos por los mismos y asegurando una protección eficaz.

•Así como otras medidas de restricción y de control de accesos a datos que se determinen en función a los resultados de los análisis de riesgos realizados.

Para garantizar la protección permanente de los datos se realiza un proceso de verificación y evaluación periódica de la eficacia de las medidas adoptadas. El proceso de evaluación periódica consiste en una revisión sistemática de las actividades de tratamiento llevadas a cabo o las que se pretendan iniciar, del personal que cuenta con acceso a las mismas, control de los compromisos de confidencialidad, control de los destinatarios y especialmente de los encargados de tratamiento, así como cualesquiera otras indicadas en el informe del análisis de riesgos que se realice.

El procedimiento de control analiza todos los soportes, tanto electrónicos (ordenadores, dispositivos electrónicos inteligentes, servidores, etc..) como manuales (archivadores, carpetas, etc..) y determina los riesgos en función a las actividades de tratamiento que contengan.

Asimismo, se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de cada uno de los soportes o sistemas de tratamiento, así como medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

Se atiende el compromiso de formar a todos los trabajadores que tienen acceso y/o tratan datos de carácter personal. Una formación en materia de protección de datos adecuada y revisable (en el registro de control se incluye un apartado específico para la formación de cada trabajador).

Todos los empleados de EMBASUR EMBALAJE DE MADERAS S.L.U. son responsables del cumplimiento de esta Política y de la normativa interna que la desarrolle o complemente. En particular, cada empleado deberá:

•cumplir, en el desempeño de su actividad en la empresa, con sus obligaciones de confidencialidad y secreto con respecto a los datos personales a los que tengan acceso.

•utilizar los datos personales únicamente para la finalidad para la que se recabaron y en el marco del cumplimiento de sus responsabilidades laborales.

•asistir a las formaciones relacionadas con la privacidad o la protección de datos.

•cooperar en la implantación de las medidas y facilitar la información y documentación que se les solicite para acreditar el cumplimiento en materia de protección de datos personales y privacidad.

•comunicar cualquier incumplimiento de la presente Política poniéndose en contacto con su responsable directo o funcional, o directamente con el DPD en el caso de que la empresa lo tenga.

Violaciones de seguridad de datos de carácter personal. Brechas de seguridad.

EMBASUR EMBALAJE DE MADERAS S.L.U. ha tenido en cuenta los riesgos que presenta el tratamiento como consecuencia de su destrucción, pérdida o alteración accidental o ilícita que son transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos para evaluar el nivel de seguridad aplicado.

Cuando se produzcan violaciones de seguridad como por ejemplo, el robo o acceso indebido a los datos personales y en cumplimento de los artículos 33 y 34 del Reglamento (UE) 2016/679 de datos de carácter personal, se seguirá el procedimiento de registro de la violación de seguridad detectada.

Para la gestión de la brecha o violación de la seguridad de los datos, el responsable de seguridad (o el delegado de protección de datos en su caso) actuará llevando a cabo un procedimiento de análisis y registro de la situación.

Para el análisis se tendrá en cuenta si la violación de los datos afectados supone un riesgo para los derechos y libertades de las personas que pueda provocar daños y perjuicios físicos, materiales o inmateriales o que pueda suponer:

•problemas de discriminación

•usurpación de identidad o fraude

•pérdidas financieras

•daño para la reputación

•pérdida de confidencialidad de datos sujetos al secreto profesional

•reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.

Asimismo se analiza si la violación de los datos puede privar a los interesados de sus derechos y libertades o les impide ejercer el control sobre datos personales que revelen:

•el origen étnico o racial

•las opiniones políticas.

•la religión o creencias filosóficas

•la militancia en sindicatos

•el tratamiento de datos genéticos

•datos relativos a la salud o datos sobre la vida sexual

•relativos a las condenas e infracciones penales o medidas de seguridad conexas

Se analizan los casos en los que se evalúen aspectos personales:

•en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo

•situación económica

•datos de salud

•preferencias o intereses personales

•fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales.

Igualmente se analizan los casos en los que se traten datos personales de personas vulnerables, en particular niños.

Si en el análisis anterior se llega a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, se notificará dicha violación en el Registro de la Agencia Española de protección de datos y se notificará al afectado.

Notificación de violaciones de seguridad de los datos

En caso de que sea necesario notificar la brecha de seguridad, la notificación se realizará antes de las 72 horas siguientes a que el responsable tenga constancia de ella.

Se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es aportando toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar a la incidencia. La notificación incluye:

•La naturaleza de la violación, categorías de datos y de interesados afectados.

•Las medidas impuestas por el responsable para resolver esa quiebra.

•Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados. La notificación a los afectados se realizará en el mismo plazo y forma que el descrito.

Evaluación de impacto sobre protección de datos

La evaluación de impacto es un ejercicio posterior al análisis de los riesgos que un determinado tratamiento puede requerir para garantizar el derecho a la protección de datos de los afectados. Consiste en una evaluación pormenorizada de los tratamientos que, como resultado del análisis, requieran la adopción de otras medidas adicionales necesarias que eliminen o atenúen en lo posible aquellos riesgos que se hayan tipificado como intolerables.

La organización recaba el asesoramiento del delegado de protección de datos, en su caso, al realizar la evaluación de impacto.

En tratamientos a gran escala de categorías especiales de datos, tratamientos de datos relativos a condenas e infracciones penales, los que suponen una observación sistemática a gran escala de una zona de público o en los tratamientos cuyo análisis de riesgos resulte intolerable, se realiza evaluación de impacto. La evaluación incluirá una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, así como el interés legítimo. Incluirá la evaluación de los riesgos para los derechos y libertades así como las medidas previstas para afrontar los riesgos, garantías y mecanismos para garantizar la protección de datos.

Todas las evaluaciones de impacto que la organización deba realizar quedarán debidamente documentadas.

Delegado de protección de datos

La organización declara su compromiso con el art. 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales designando un delegado de protección de datos en caso de que esté obligada.

Asimismo, si tras el análisis de las actividades de tratamiento se determina que la organización requiere el nombramiento de un Delegado de Protección de Datos, lo hará por requerimiento legal atendiendo a sus cualidades de profesionales, conocimientos y competencias en la materia.

En su caso la organización mantendrá un delegado de protección de datos, identificado para los interesados y notificado a la Autoridad competente en materia de protección de datos garantizando que el delegado de protección de datos:

•participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

•respalda a la organización en el desempeño de sus funciones.

•dispone de los recursos necesarios para el desempeño de sus funciones y para el mantenimiento de sus conocimientos, el acceso a los datos personales y a las operaciones de tratamiento.

•no recibe ninguna instrucción en lo que respecta al desempeño de sus funciones.

•no se destituye ni se sanciona al delegado de protección de datos por desempeñar sus funciones.

•rinde cuentas a la empresa al más alto nivel jerárquico.

•atiende a los interesados y mantiene la confidencialidad en el desempeño de sus funciones.

Si el delegado de protección de datos desempeñase otras funciones dentro de la organización se garantiza que la situación no da lugar a conflicto de intereses.

TRANSFERENCIAS INTERNACIONALES

Para poder realizar transferencias internacionales de datos personales el art. 44 Reglamento (UE) 2016/679 impone sobre el responsable y el encargado del tratamiento la obligación de cumplir con las condiciones del capítulo V. Podrá realizarse la transferencia cuando:

1. existan garantías para la protección de los datos de las personas físicas en el tercer país destinatario de los datos

2. se hayan elaborado y aprobado normas corporativas vinculantes (NCV)

3. a falta de lo anterior, cuando pueda acogerse a una de las excepciones previstas.

Cuando la organización realice transferencias internacionales de datos o utilice servidores de internet para el almacenamiento de datos de carácter personal, realizará un estudio de la situación de dichos servidores, así como de sus proveedores, analizando si existen garantías para las personas cuyos datos se encuentran en dicha situación, concretamente si:

•existe un instrumento jurídico vinculante y exigible entre las autoridades u organismos públicos de los diferentes países.

•existen normas corporativas vinculantes (aprobadas por la autoridad de control/comisión) entre la organización y las organizaciones destinatarias de los datos.

•existen cláusulas tipo (aprobadas por la autoridad de control/comisión) anexadas al contrato de servicios.

•existe un código de conducta (aprobado por la autoridad de control/comisión) junto con compromisos vinculantes exigibles por el tercer país.

•existe un mecanismo de certificación.

•se dispone del consentimiento explícito del interesado y se le ha informado de los posibles riesgos.

Los resultados quedarán debidamente documentados en el registro de actividades de tratamiento.

RESPONSABILIDADES

EMBASUR EMBALAJE DE MADERAS S.L.U. es el responsable de velar por el cumplimiento adecuado de esta Política y por integrar las obligaciones de cumplimiento en materia de protección de datos personales y privacidad dentro de sus actividades diarias, lo que compete a toda la organización y, por lo tanto, a sus órganos de gobierno y a todos sus empleados.

VERIFICACIÓN PERIÓDICA DEL SISTEMA DE PROTECCIÓN DE DATOS

Con el fin de mantener un control constante de los sistemas de protección de datos adoptados por la organización, con carácter periódico y cada vez que se realicen cambios en las actividades de tratamiento la organización se compromete a realizar auditorías internas de verificación periódicas, donde se analicen todos los puntos de control relacionados con las actividades de tratamiento llevadas a cabo. Los resultados serán documentados y puestos a disposición de la autoridad de control y los interesados que así lo soliciten como prueba de conformidad