POLÍTICA DE PRIVACIDAD
1.- INTRODUCCIÓN
1.1 – Objetivo
El objetivo de la presente política es definir el compromiso que la ASOCIACIÓN ESPAÑOLA DE BIOSEGURIDAD, (en adelante, “AEBIOS”) deben cumplir en relación con el tratamiento de datos de carácter personal en el desempeño de sus funciones, y el marco en que se establece dicho compromiso.
1.2 – Ámbito de aplicación
Esta política es de aplicación a todos/as los/as profesionales que se integran en la estructura de AEBIOS porque desempeñan cargos o son personal de AEBIOS con acceso a la información de la que es responsable AEBIOS y se puede también hacer extensiva, de conformidad con los acuerdos de encargo de tratamiento que se suscriban, a cualquier otra empresa vinculada con el AEBIOS colaborador habitual o puntual, cuya actuación pueda afectar de alguna manera a la responsabilidad o reputación de AEBIOS
1.3 – Normativa
El presente documento está basado en el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, -RGPD-) y la normativa nacional vigente en materia de protección de datos personales.
El marco normativo aplicable a la materia y que las personas sujetas a esta Política deben conocer además del citado RGPD, viene determinado por:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico;
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica;
1.4 – Principios del tratamiento de datos y de la seguridad de la información.
AEBIOS su estructura orgánica y plantilla tratarán la información y los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos y seguridad de la información:
- Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con el/la interesado/a.
- Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
- Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Limitación del plazo de conservación: los datos de carácter personal personales serán mantenidos de forma que se permita la identificación de los/as interesados/as durante no más tiempo del necesario para los fines que justificaron su tratamiento.
- Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél.
- Responsabilidad proactiva: AEBIOS y su estructura serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que permitan estar en condiciones de demostrar dicho cumplimiento.
- Atención de los derechos de los/as afectados/as: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los/as afectados/as, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
- Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles orgánicos y directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de AEBIOS para conformar un todo coherente y eficaz.
- Responsabilidad diferenciada: en los sistemas de información responsabilidad de AEBIOS se observará el principio de responsabilidad diferenciada de forma que se delimiten las diferentes responsabilidades y roles.
- Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
- Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que AEBIOS desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata AEBIOS El análisis y gestión de riesgos son parte esencial del proceso de protección de datos y de seguridad de la información de AEBIOS de forma que permita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo AEBIOS tendrá́ en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
- Proporcionalidad: AEBIOS establecerá medidas de protección, detección y recuperación de forma que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.
- Proceso de verificación: AEBIOS implantará un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
2.- OBLIGACIÓN DE CONOCER Y DE CUMPLIR
Todo profesional de AEBIOS debe conocer la presente Política y actuar conforme a los principios y comportamientos definidos, comunicando a su responsable directo o al departamento de Cumplimiento dentro del Área de Secretaría General cualquier duda respecto a su cumplimiento o cualquier indicio de actuación en contra de este.
La presente Política, así como los procedimientos posteriores que de la misma pudieran emanar se encontrarán permanentemente actualizados en la Intranet para ser consultados posteriormente cuando se requiera.
Todos/as los/as directores/as tienen obligación de velar por el cumplimiento de la Política en sus áreas, liderar su cumplimiento, resolver las dudas o inquietudes que les transmitan los/as profesionales, y establecer los mecanismos que aseguren su cumplimiento contando para todo ello con el asesoramiento del departamento de Cumplimiento.
Las dudas sobre seguridad de la información y protección de datos se podrán trasladar a el/la Responsable de Seguridad de la Información, que, a su vez, podrá trasladarlas al Delegado de Protección de Datos.
El incumplimiento de las normas contenidas en la presente política estará sujeto a la potestad disciplinaria y sancionadora del AEBIOS con sujeción a los principios y reglas previstas por la legislación vigente. Por lo tanto, cualquier duda significativa se trasladará a el/la Responsable de Seguridad de la Información y cualquier incumplimiento relacionado deberá ponerse en conocimiento de el/la Responsable de Cumplimiento del AEBIOS La gestión de dudas e incumplimientos se realizará aplicando rigurosamente los principios de independencia y confidencialidad.
3.- COMPROMISO DE CONFIDENCIALIDAD ESCRITO
En el marco de la relación que a los/as empleados de la empresa, AEBIOS se comprometerán expresamente, en un documento que firmarán, a:
- No revelar a persona alguna ajena a AEBIOS sin su consentimiento, la información a la que haya tenido acceso en el desempeño de sus funciones, excepto en el caso de que ello sea necesario para dar debido cumplimiento a las obligaciones propias o de la organización, impuestas por las leyes o normas que resulten de aplicación, o sea requerido para ello por mandato de la autoridad competente con arreglo a Derecho.
- Utilizar la información a que alude el apartado anterior, únicamente en la forma que exija el desempeño de sus funciones en AEBIOS y no disponer de ella de ninguna otra forma o finalidad. Está prohibida la copia y envío de cualquier información obtenida o generada como consecuencia del trabajo para fines distintos de éste.
- No utilizar en forma alguna, cualquier otra información que hubiese podido obtener prevaliéndose de su condición de empleado de la empresa AEBIOS y que no sea necesaria para el desempeño de sus funciones en AEBIOS
- Cumplir en el desarrollo de sus funciones en AEBIOS con la normativa vigente, nacional y comunitaria, relativa a la protección de datos de carácter personal y, en particular, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD),
disposiciones complementarias, normativa nacional aplicable, o cualquier otra norma que las sustituya en un futuro.
- Cumplir la Políticas de Seguridad de la Información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, los procedimientos que establezca y le comunique la dirección de la Corporación.
- No hacer un uso personal de los sistemas y equipos de información titularidad de AEBIOS que interfiera con sus funciones en la estructura de AEBIOS de los/as demás trabajadores/as o de la empresa.
- En internet, adoptar las precauciones oportunas para proceder a la descarga de archivos, asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
- Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa, la relación que le une con AEBIOS
4.- USO DE MEDIOS DIGITALES DE AEBIOS POR LOS/AS EMPLEADOS/AS
Los/as trabajadores/as deberán cumplir las políticas o instrucciones de uso aceptable o de seguridad de la información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, que establezca y le comunique la dirección de la empresa. No deberán hacer un uso personal de los sistemas y equipos de información titularidad de AEBIOS que interfiera con el trabajo del empleado/a, de los/as demás trabajadores/as o de la empresa. Los/as trabajadores/as serán informados de que no se permite el acceso a páginas Web no ligadas al trabajo como páginas de chats, redes sociales no profesionales, juegos, juego de azar, viajes, compras por Internet, venta de acciones, de contenido ilegal o de carácter pornográfico etc. También está prohibido expresamente la difusión y descarga de material ilegal, vulnerador de derechos, así como el uso, copia o envío ilegal de software o material que está protegido por leyes protectoras de la propiedad intelectual o industrial.
En internet, deberán adoptar las precauciones oportunas antes de proceder a la descarga de archivos asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
AEBIOS podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los/as trabajadores/as a los efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
Por todo ello, ningún/a trabajador/a de AEBIOS puede esperar que sus comunicaciones con medios de AEBIOS o uso de los sistemas informáticos de AEBIOS sean confidenciales ni tampoco privados, estando sometidos al control del empleador/a.
El/La trabajador/a será informado que en los equipos y sistemas informáticos propiedad de la empresa se podrán instalar aplicaciones que analicen el tráfico enviado y recibido de Internet y lo permita o prohíba en función de una serie de reglas definidas por los administradores de los sistemas.
5.- MANUAL DEL EMPLEADO
Los principios y obligaciones básicas de los/as empleados/as se recogerán en un documento denominado Manual del empleado de Protección de Datos, que será difundido periódicamente entre los/as empleados/as, así como actualizado.
6.- POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información se rige por la Política de Seguridad de la Información del AEBIOS acorde con las medidas de seguridad del Esquema Nacional de Seguridad, y una serie de documentos, procedimientos y medidas de desarrollo de la misma (Normativa de Seguridad; Procedimientos de Seguridad; Procesos de Autorización; Medidas de Seguridad del Marco Operacional y de Protección), que las personas responsables de su aplicación deben conocer.
La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
El personal de AEBIOS recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de AEBIOS
7.- SISTEMA DOCUMENTAL DE PROTECCIÓN DE DATOS
El Sistema Documental de Protección de Datos de AEBIOS recoge de forma ordenada los documentos que sobre la protección de datos de carácter personal genera AEBIOS responsable del tratamiento de datos de carácter personal y como encargado del tratamiento, para el cumplimiento del Reglamento General de Protección de Datos (RGPD), de la normativa nacional y la que pueda dictarse en su desarrollo.
AEBIOS como responsable de tratamientos de datos de carácter personal, y encargado de otros tratamientos, es responsable del cumplimiento de los principios del RGPD y de la LOPDGDD y de las obligaciones que le incumben, y ha de ser capaz de demostrarlo, de acuerdo con el principio de responsabilidad proactiva.
El Sistema Documental de Protección de Datos tiene la finalidad de poder demostrar el cumplimiento del RGPD.
El Sistema Documental de Protección de Datos está bajo la custodia del Departamento de Control de Gestión, y del Responsable de Seguridad de la Información.
8.- TRATAMIENTO DE DATOS PERSONALES
8.1– Contenido
Se entiende por “datos personales” toda información sobre una persona física identificada o identificable (“el/la interesado/a”). Se considera persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo, un nombre, un número de identificación (ej. DNI, número de la Seguridad Social), datos de localización (ej. domicilio), un identificador en línea (ej. cuentas de correo electrónico), o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (ej. datos biométricos). En adelante, “Datos Personales”.
Ejemplos de Datos Personales serían el nombre completo, número de DNI o pasaporte, dirección profesional o personal, nacionalidad, profesión, datos financieros, de salud, genéticos, biométricos, de una persona física identificada o identificable.
8.2 – Alcance
Únicamente aplica a las personas físicas, ya que la citada normativa no resultaría aplicable a los datos de las personas jurídicas.
8.3 – Formato de los datos
Para que los datos se consideren como de carácter personal, es indiferente el formato en el que se faciliten, ya sea formato electrónico/digital de cualquier tipo (Excel, Word, Access, PowerPoint, aplicación, archivo de audio o vídeo, etc.), o formato físico (documento en papel, fotografías, etc.).
Las medidas de seguridad a implementar variarán en función del formato en que los datos estén disponibles.
8.4 – Registro de Actividades de Tratamiento – Uso de los datos
AEBIOS mantendrá actualizado el Registro de las Actividades de Tratamiento con datos de carácter personal de las que sea responsable, que incluirá toda la información a la que se refiere el artículo 30 del RGPD.
Las finalidades que habilitan el tratamiento de datos de carácter personal son las contenidas en cada actividad de la recogida en el Registro de Actividades del Tratamiento.
El Registro de Actividades de Tratamiento se mantendrá continuamente actualizado y podrá consultarse en la página web de AEBIOS de conformidad con lo dispuesto en la LOPDGDD.
Cualquier duda sobre las finalidades del tratamiento se planteará a el/la Responsable de Seguridad, o al Delegado de Protección de Datos, en el caso de tener la obligación de su designación.
Los datos personales han de ser adecuados, pertinentes y no excesivos con relación a la finalidad para la que se recogen.
No se recabarán más datos de los necesarios y no se utilizarán datos personales recogidos para finalidades distintas y/o incompatibles con aquéllas para las que se recogieron.
8.5 – Habilitación para el tratamiento de los datos. Recogida de datos. Obtención del Consentimiento
Se considera tratamiento cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Se entiende que existe tratamiento de Datos Personales desde que se conocen o se dispone de acceso de visualización a dichos datos, incluso si es un acceso potencial (es decir, se acceda o no, desde el momento que se puede acceder, se está produciendo tratamiento de Datos Personales).
La habilitación o legitimación para el tratamiento de datos personales se fundará en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
Las concretas habilitaciones para cada una de las actividades de tratamiento que lleva a cabo AEBIOS son las recogidas en el Registro de Actividades del Tratamiento.
AEBIOS no recabará datos de carácter personal de los usuarios sin conocimiento del interesado/a. La inclusión de datos en formularios será voluntaria y debidamente anunciada, mostrándose las pertinentes cláusulas informativas conformadas en dos capas. Las capas informativas y sus niveles de detalle tendrán el contenido indicado por la Guía para el Cumplimiento del Deber de Informar (2018) editada por la Agencia Española de Protección de Datos.
Siempre que se recaben datos se informará por escrito, o mediante locución si se recaban telefónicamente, con la primera capa de información básica, en forma de tabla, con los epígrafes de “Responsable”, “Finalidades”, “Legitimación”, “Cesiones/Destinatarios” y “Derechos”, donde se informará de que se pueden ejercer en el mail mail@dominiodelcliente.es
Se añadirá, en su caso, el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado/a. También se indicará la fecha de la versión de la cláusula y habrá una extensión de información (+info), con dos enlaces, uno a la segunda capa detallada, con información adicional, otro a un extracto del Registro de Actividades del Tratamiento.
Los datos de carácter personal que se pudieran recabar directamente del interesado/a de forma informada quedarán incorporados a la correspondiente actividad de tratamiento titularidad de AEBIOS
Cuando la legitimación del tratamiento se base en el consentimiento y haya que recabar éste se podrán utilizar los métodos establecidos en los Procedimientos de Obtención y Conservación del Consentimiento, que forman parte del Sistema Documental de Protección de Datos de Carácter Personal de AEBIOS y se identificará por actividades del tratamiento los sistemas utilizados en cada caso, guardando el debido registro de la prestación del consentimiento, de los datos proporcionados y de las cláusulas informativas mostradas.
8.6 – Forma de acceso
Para considerar que se está realizando tratamiento de Datos Personales, es indiferente la forma en la que se tenga acceso a los mismos (ya sea en formato electrónico/digital o en formato físico), de modo que se deberá cumplir con el procedimiento establecido en todos los casos. Del mismo modo, se está ante tratamiento de Datos Personales si el acceso a los mismos se produce incorporando dichos datos a los sistemas informáticos o instalaciones de AEBIOS.
8.7 – Nivel de seguridad
Los/as empleados de la empresa de AEBIOS deben conocer y aplicar las medidas de seguridad, conformes con el Esquema Nacional de Seguridad, que se recogen en el Registro de Actividades del Tratamiento y en el sistema de seguridad de la información.
Para conocer más acerca de los niveles de seguridad en materia de protección de datos personales se deberá contactar con el/la Responsable de Seguridad de la Información.
8.8 – Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet, documento que se integra en el Sistema Documental de Protección de Datos de Carácter Personal de AEBIOS concretamente el procedimiento por el que se rige AEBIOS en el tratamiento de datos de carácter personal a través de la página web e internet y de la privacidad de estos. En dicha Política se integrará también el tratamiento de cookies.
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet deberá ser conocida por las personas de la estructura de AEBIOS y se publicará para general conocimiento en la página web.
8.9 – Periodo de conservación de datos Bloqueo de los datos. Patrimonio Documental
Según la normativa de protección de datos, los datos personales se conservarán hasta que sean necesarios para la finalidad del tratamiento. En el Registro de Actividades de Tratamiento se consignan los plazos o criterios de cada concreta actividad.
Posteriormente se conservarán debidamente bloqueados. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada.
Para la eliminación de documentos con datos personales, que no sean copias auxiliares, las personas de la estructura de AEBIOS consultarán previamente con el/la Responsable de Seguridad sobre el procedimiento a seguir.
8.10 – Destinatarios/as de los datos
Los datos podrán ser cedidos o comunicados a otros destinatarios según las habilitaciones previstas en el RGPD. Las concretas cesiones o comunicaciones son las que se recogen en el Registro de Actividades de Tratamiento para cada actividad y todas ellas deben figurar en las cláusulas informativas y de recogida del consentimiento cuando éste sea el fundamento legitimador del tratamiento.
8.11– Derechos de los/as interesados/as
Los derechos reconocidos en los artículos 15 a 22 RGPD podrán ejercerse directamente o por medio de representante legal o voluntario. Los/as titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.
Cualquier persona tiene derecho a obtener confirmación sobre si AEBIOS trata datos personales que le concierne, o no.
Las personas interesadas tienen derecho a acceder a sus datos personales y a obtener una copia de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.
En determinadas circunstancias previstas en el artículo 18 RGPD, los/as interesados/as podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente AEBIOS los conservará para el ejercicio o la defensa de reclamaciones.
Como consecuencia de la aplicación del derecho a la supresión u oposición al tratamiento de datos personales en el entorno on-line, los/as interesados/as tienen el derecho al olvido según la jurisprudencia que el Tribunal de Justicia de la UE.
Los/as interesados/as podrán oponerse al tratamiento de sus datos con fines de mercadotecnia, incluida la elaboración de perfiles. En particular, los interesados tienen derecho a que AEBIOS indique gratuitamente respecto de los sus datos personales que no pueden utilizarse para fines de publicidad o prospección comercial.
En virtud del derecho a la portabilidad, los/as interesados/as tienen derecho a obtener los datos personales que les incumben en un formato estructurado de uso común y lectura mecánica y a transmitirlos a otro responsable.
Todo interesado/a tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, salvo las excepciones previstas en el art.22.1 RGPD. AEBIOS no trata datos adoptando decisiones automatizadas sin intervención humana.
El/la interesado/a tiene el derecho a la supresión de sus datos, por la desaparición de la finalidad que motivó el tratamiento o la recogida, por revocación del consentimiento cuando sea éste el que legitime el tratamiento, o por el resto de los motivos contenidos en el artículo 17 RGPD. La supresión definitiva se realizará, en cualquier caso, previo bloqueo de los datos.
8.12 – Atención de derechos de los/as interesados/as
AEBIOS tiene establecido un procedimiento sencillo de ejercicio de los derechos personalizado de protección de datos de carácter personal, disponiendo una dirección de correo electrónico para el ejercicio de los derechos secretariatecnica@aebios.org, definido en el documento Procedimiento para la atención del ejercicio de derechos que todos/as los/as empleados/as de AEBIOS deben conocer y aplicar.
Cualquier petición de ejercicio de derechos de protección de datos recibida en AEBIOS por cualquier vía o canal se remitirá por los/as empleados/as de AEBIOS a secretariatecnica@aebios.org Esta norma se incluirá en el manual de Protección de Datos para empleados/as.
Se responderá a las solicitudes de los/as interesados/as, por correo electrónico con confirmación de lectura si la solicitud se ha recibido por ese medio o por correo postal certificado con acuse de recibo si la solicitud se ha recibido por medios diferentes al correo electrónico, sin dilación indebida y a más tardar en el plazo de un mes.
La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el/la afectado/a recae sobre AEBIOS por lo que se conservará copia de todas las respuestas y de la justificación del envío y recepción.
8.13 – Gestión de brechas de seguridad
El Procedimiento para la gestión de brechas de seguridad, que se integra en el Sistema Documental de Protección de Datos, se establece con la finalidad de la correcta identificación, registro y resolución, con minimización de daños, de las brechas de seguridad que afecten a datos de carácter personal.
La gestión de la brecha se realizará según la Política de Seguridad de la Información de AEBIOS que rige en los documentos que la desarrollan y que contemplan los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre la información no se materialicen y, si ello sucede, no afecten gravemente a la información que maneja o los servicios que se prestan por la empresa.
La existencia de ese Procedimiento de Gestión de Brechas de Seguridad se hará constar en la Política de Protección de Datos dirigido a los/as empleados/as y cualquier miembro de la empresa, a los que se instruirá en cómo actuar ante brechas de seguridad y de las responsabilidades que les correspondan.
9.- APROBACIÓN DEL MODELO
9.1 – Titularidad
La aprobación de este documento corresponde a la Dirección de la empresa. La elaboración y evolución del documento corresponde al departamento de Cumplimiento.
9.2 – Interpretación
Corresponde al responsable de la Protección de Datos en la empresa, la interpretación de este documento.
9.3 – Validez y revisión
Este modelo entrará en vigor desde la fecha de su aprobación y publicación. Su contenido será objeto de revisión periódica, realizándose los cambios o modificaciones que se consideren convenientes.
10.- CONTROL DE VERSIONES DEL DOCUMENTO
Versión Nombre del fichero Fecha
1.0 Política de privacidad 15/04/24
1.1 Informe Web 15/04/24
11.- IMPLEMENTACIÓN DE LA POLÍTICA DE PRIVACIDAD
La Política de Privacidad de AEBIOS tiene que seguir implementada en el footer de vuestro Sitio Web a través de un link permanente que redirija al usuario al texto completo de la Política de Privacidad.
A propósito de la implementación de la Política de Privacidad en los formularios de contacto/registro que tenéis implementado en vuestro Sitio Web, sería necesario que además del link a la Política de Privacidad, se incluya un icono informativo (por ejemplo, mediante un “+info”, tal y como establece la guía de modelos de cláusulas informativas de la Agencia Española de Protección de Datos).
De esta manera, el Usuario al posicionar el cursor sobre “+info”, o hacer click sobre él, en la pantalla de su dispositivo debe desplegarse una tabla esquemática conforme al ejemplo que se muestra a continuación (primera capa de información), en la que se informe al usuario de manera simplificada de las principales cuestiones que debe conocer en relación con el tratamiento de sus datos.
Descripción de la actividad de tratamiento
Fecha de registro |
11 de abril de 2024 |
Responsable del tratamiento |
Departamento de Administración de ASOCIACIÓN ESPAÑOLA DE BIOSEGURIDAD |
Descripción de la actividad de tratamiento |
Gestión de datos personales de miembros, donantes y voluntarios para el funcionamiento y desarrollo de las actividades de la asociación.
|
Base legal del tratamiento |
· Consentimiento explícito de los interesados para el tratamiento de sus datos personales. · Cumplimiento de obligaciones contractuales con los miembros y voluntarios. · Interés legítimo de la asociación en el desarrollo de sus actividades sin ánimo de lucro. |
Finalidad del tratamiento |
· Gestión de la membresía: mantenimiento de registros de miembros, comunicación con los mismos y coordinación de actividades. · Recaudación de fondos: registro de donaciones, emisión de recibos y agradecimientos a los donantes. · Gestión de voluntarios: registro de participación en actividades voluntarias, coordinación de tareas y reconocimiento del esfuerzo. · Divulgación de actividades: comunicación de eventos, proyectos y logros de la asociación a la comunidad. |
Datos personales tratados |
· Datos de identificación: nombres, apellidos, números de identificación. · Datos de contacto: direcciones, números de teléfono, direcciones de correo electrónico. · Datos de afiliación: información sobre la membresía en la asociación. · Datos financieros: información sobre donaciones y contribuciones económicas. · Datos de participación: información sobre actividades voluntarias y eventos organizados por la asociación. |
Transferencia Internacional de datos |
No se realizan transferencias internacionales de datos sin el consentimiento explícito de los interesados o en cumplimiento de acuerdos legales. |
Plazo supresión |
Los datos personales se conservan durante el período necesario para cumplir con las finalidades para las cuales fueron recopilados y conforme a la política de supresión de datos de la asociación |
Medidas de seguridad implementadas |
· Almacenamiento de datos en sistemas informáticos seguros con acceso restringido mediante contraseñas. · Limitación del acceso a los datos personales a personal autorizado según necesidad. · Protocolos de seguridad para la prevención de accesos no autorizados o pérdida de datos. · Periodicidad de revisión y actualización de datos: · Revisión periódica de los registros de miembros, donantes y voluntarios para garantizar su precisión y actualidad. · Actualización de datos de contacto y preferencias de comunicación según sea necesario. |