Política de Protección de Datos Personales

True Space Sociedad de Responsabilidad Limitada

Calle Stanisława Moniuszki 11, 35-015 Rzeszów

Introducción

La Política de Protección de Datos Personales es un documento que describe los principios de protección de datos personales aplicados por el Responsable: True Space Sp. z o.o.,
Calle Stanisława Moniuszki 11, 35-015 Rzeszów, con el fin de cumplir con los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD).

La Política constituye uno de los medios organizativos destinados a demostrar que el tratamiento de datos personales se realiza de acuerdo con el Reglamento mencionado.

DEFINICIONES:

Responsable (de datos) – significa la persona física o jurídica, autoridad pública, entidad u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales: True Space Sp. z o.o., Calle Stanisława Moniuszki 11, 35-015 Rzeszów.

RGPD  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en relación con el tratamiento de datos personales y
sobre la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. (DOUE L 119, 04.05.2016)

Datos personales – cualquier información relacionada con una persona física identificada o identificable. Una persona se considera identificable directa o indirectamente mediante referencia a un identificador, como nombre, número de identificación, datos de localización, identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona.

Tratamiento de datos personales cualquier operación automatizada o no automatizada realizada sobre datos personales o conjuntos de datos personales, que incluye la recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, consulta, uso, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, eliminación o destrucción de datos personales.

Limitación del tratamiento – consiste en marcar los datos personales tratados con el fin de limitar su tratamiento futuro.

Anonimización – transformación de los datos personales de tal manera que pierdan la condición de datos personales.

Consentimiento del interesado – cualquier manifestación de voluntad libre, específica, informada e inequívoca del interesado mediante declaración o acción afirmativa clara, mediante la cual el interesado acepta el tratamiento de datos personales que le conciernen. El consentimiento debe ser debidamente documentado para poder ser probado.

Evaluación de Impacto en la Protección de Datos (DPIA) – proceso realizado por el Responsable, cuando lo exige la legislación vigente, y, si es necesario, con la participación del Delegado de Protección de Datos, antes del tratamiento, cuando exista una probabilidad de alto riesgo para los derechos y libertades de las personas físicas debido al tipo de tratamiento de datos personales y que implique el uso de nuevas tecnologías, considerando la naturaleza, el alcance, el contexto y los fines del tratamiento. Este proceso debe evaluar el impacto de las operaciones de tratamiento planificadas en la protección de datos personales.

Interesado – toda persona física que sea objeto de tratamiento de datos.

Destinatario – significa la persona física o jurídica, autoridad pública, entidad u otro organismo que recibe datos personales, independientemente de si es un tercero.

Encargado del tratamiento (Procesador) – persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del Responsable.

Delegado de Protección de Datos (DPD) – persona designada formalmente por el Responsable para informar y asesorar al Responsable/Encargado del tratamiento/empleados sobre la legislación vigente en materia de protección de datos y sobre la presente Política, así como para supervisar su cumplimiento y actuar como punto de contacto para los interesados y la autoridad de control.

Pseudonimización – tratamiento de datos personales de tal manera (por ejemplo, sustituyendo nombres por números) que los datos personales ya no puedan atribuirse a un interesado específico sin información adicional (por ejemplo, lista de referencia de nombres y números), siempre que dicha información adicional se mantenga separada y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se asignen a una persona identificada o identificable.

Categorías especiales de datos personales – revelan origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical y abarcan el tratamiento de datos genéticos, datos biométricos con fines de identificación única, datos de salud, datos sobre la vida sexual natural u orientación sexual de la persona. Según la legislación aplicable, las categorías especiales de datos también pueden incluir información sobre medidas de seguridad social, procedimientos administrativos y penales, y sanciones.

Perfilado – cualquier forma de tratamiento automatizado de datos personales consistente en el uso de datos personales para evaluar ciertos aspectos personales de una persona física, en particular para analizar o predecir aspectos relacionados con el desempeño laboral, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, localización o desplazamientos.

Violación de datos personales – incidente accidental o ilícito que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales.

Evaluación de impacto (análisis de riesgos)

La evaluación de impacto es un procedimiento formal previsto en el artículo 35 del RGPD para realizar un análisis de riesgos, del cual es responsable el Responsable. Si el Responsable o el encargado del tratamiento no está obligado a realizar la evaluación de impacto, aún puede aplicar el siguiente procedimiento para realizar un análisis de riesgos con fines de demostrar la rendición de cuentas del cumplimiento del RGPD. En caso de designación de un Delegado de Protección de Datos, la evaluación de impacto debe realizarse con su participación.

Descripción de operaciones de tratamiento (inventario de activos)

  1. Para realizar un análisis de riesgos, es necesario identificar los datos personales que deben protegerse. Estos datos, en forma de conjuntos (categorías de personas), se detallan en el anexo: Descripción de conjuntos de datos personales.

  2. La descripción de los conjuntos (categorías de personas) debe incluir información como:

    1. nombre del conjunto (descripción de la categoría de personas)

    2. descripción de los fines del tratamiento

    3. naturaleza, alcance y contexto de los datos personales

    4. destinatarios de los datos

    5. descripción funcional de las operaciones de tratamiento

    6. activos utilizados para el tratamiento de datos personales (información, programas, sistemas operativos, infraestructura informática, infraestructura física, empleados y colaboradores, outsourcing).

    7. información sobre la necesidad de registrarse en el registro de actividades de tratamiento

    8. información sobre la necesidad de realizar la evaluación de impacto para el conjunto

Evaluación de necesidad y proporcionalidad (cumplimiento con el RGPD)

Al realizar la evaluación de impacto (análisis de riesgos), el Responsable debe cumplir con las obligaciones legales relativas a los datos de sus conjuntos. En particular, se debe garantizar que:

  1. los datos se procesen legalmente (art. 6, 9)

  2. los datos sean adecuados a los fines del tratamiento

  3. los datos se conserven durante un tiempo determinado (retención de datos)

  4. se haya cumplido la obligación de información frente a los interesados (art. 12, 13 y 14), indicando sus derechos (acceso, portabilidad, rectificación, supresión, limitación, oposición, revocación de consentimiento)

  5. se hayan elaborado cláusulas informativas para los interesados

  6. existan contratos de encargado del tratamiento

Análisis de riesgos

El procedimiento describe cómo realizar un análisis de riesgos para proteger los datos personales frente a amenazas identificadas de destrucción, pérdida, modificación, divulgación no autorizada o acceso no autorizado.

Se asume que el análisis de riesgos se realiza para un conjunto o grupo de conjuntos (categorías de personas) o para los procesos de tratamiento.

Definiciones

  1. Activos – recursos materiales e inmateriales que afectan al tratamiento de datos personales

  2. Incidente de protección de datos personales – violación de seguridad que conduce a destrucción, pérdida, modificación, divulgación no autorizada o acceso no autorizado a datos personales procesados, almacenados o transmitidos de otro modo

  3. Amenaza – posible violación (incidente potencial)

  4. Consecuencias – resultados de un incidente no deseado (pérdidas en caso de ocurrencia de la amenaza)

  5. Riesgo – probabilidad de que una amenaza ocurra y cause pérdida o destrucción de recursos

Determinación de amenazas

  1. El Responsable es responsable de definir la lista de amenazas a la confidencialidad, disponibilidad e integridad que pueden ocurrir durante el tratamiento de datos en el conjunto, categoría de personas o proceso de tratamiento.

  2. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów

  3. Las amenazas deben identificarse en relación con los activos previamente identificados.

Reacción ante el valor del riesgo

  1. Aceptación del riesgo – las medidas de seguridad son adecuadas – no es necesario aplicar medidas adicionales de seguridad

  2. Acciones para reducir el riesgo que puede aplicar el Administrador:

    1. Transferencia – transferir el riesgo (subcontratación, seguro)

    2. Evitar – eliminar las actividades que generan riesgo (p. ej., prohibición de sacar ordenadores portátiles fuera del área de la organización)

    3. Reducción – aplicar medidas de seguridad para disminuir el riesgo (p. ej., cifrar los pendrives con datos que se saquen fuera de la empresa)

  3. Se encuentra un listado de ejemplos de medidas de seguridad en el anexo Lista de
    medidas de seguridad


  4. El análisis de riesgos se realiza en una plantilla especial (programa) Hoja de análisis de riesgos RGPD

Reanálisis del riesgo

El reanálisis del riesgo se realiza de manera periódica o después de cambios significativos en el procesamiento de datos (p. ej., procesamiento de nuevos conjuntos de datos, nuevos procesos de tratamiento, cambios legales).

Plan de actuación ante el riesgo

  1. Siempre que el Administrador decida reducir el riesgo, establece una lista de medidas de seguridad a implementar, el plazo de realización y las personas responsables.

  2. El Administrador está obligado a supervisar la implementación de las medidas de seguridad, extraer conclusiones y tenerlas en cuenta en su actividad operativa.

Medidas organizativas y técnicas para proteger los datos personales

El Administrador está obligado a aplicar medidas técnicas y organizativas (medidas de seguridad) adecuadas a las amenazas que puedan afectar los derechos y libertades de las personas.

  1. El Administrador mantiene un registro de las medidas de seguridad aplicadas en el anexo
    Registro de medidas de seguridad RGPD.

  2. El registro se actualiza tras cada análisis de riesgos.

Reglamento de Protección de Datos Personales

El reglamento (considerado como medida de seguridad) tiene como objetivo proporcionar a las personas que procesan datos personales el conocimiento de las reglas seguras de procesamiento.

Tras familiarizarse con las normas de protección de datos personales, las personas están obligadas a confirmar su conocimiento de estas normas y declarar su cumplimiento.

Formación

  1. Toda persona, antes de trabajar con datos personales, debe recibir formación y familiarizarse con la normativa RGPD.

  2. La formación es responsabilidad del Administrador.

  3. En caso de realizarse formación interna sobre las normas de protección de datos personales, se recomienda documentar la formación mediante el Anexo Plan de formación RGPD.

  4. Los materiales de formación para los participantes se elaboran en el anexo Formación interna RGPD.

  5. Tras la formación en normas de protección de datos, los participantes deben confirmar su conocimiento de estas normas y declarar su cumplimiento.

Autorizaciones

  1. El Administrador es responsable de otorgar y revocar las autorizaciones para procesar datos en registros en papel y en sistemas informáticos.

  2. Cada persona autorizada debe procesar los datos únicamente bajo las instrucciones del administrador o basándose en la ley.

  3. Las autorizaciones se otorgan para los registros a solicitud de los supervisores de las
    personas. Las autorizaciones determinan el alcance de las operaciones sobre los datos, p. ej., creación, eliminación, consulta, transferencia. Las autorizaciones se otorgan en forma
    documentada del alcance de los deberes.

  4. Las autorizaciones pueden otorgarse en forma de órdenes, p. ej., autorizaciones para realizar controles, auditorías, realizar actividades oficiales, orden documentada del administrador en forma de contrato de encargo.

  5. El Administrador mantiene un registro de las personas autorizadas para controlar el acceso adecuado a los datos por parte de las personas autorizadas.

Instrucciones para la gestión de incidentes

El procedimiento define un catálogo de vulnerabilidades e incidentes que amenazan la seguridad de los datos personales y describe cómo actuar ante ellos. Su objetivo es minimizar las consecuencias de los incidentes de seguridad y reducir el riesgo de futuras amenazas e incidentes.

  1. Toda persona autorizada a procesar datos personales está obligada a informar sobre cualquier vulnerabilidad detectada o incidente a su superior directo (o, si existe, al Delegado de Protección de Datos – DPD).

  2. Vulnerabilidades típicas de seguridad de datos personales incluyen:

    1. protección física inadecuada de instalaciones, equipos y documentos

    2. protección inadecuada de hardware, software frente a fugas, robo o pérdida de datos personales

    3. Incumplimiento de las normas de protección de datos por parte de los empleados (p. ej., no aplicar la regla de escritorio limpio/pantalla limpia, no proteger contraseñas, no cerrar oficinas, armarios, escritorios)

  3. Incidentes típicos de seguridad de datos personales incluyen:

    1. eventos externos aleatorios (incendio de instalaciones/sala, inundación, pérdida de energía, pérdida de conectividad)

    2. eventos internos aleatorios (fallos de servidor, ordenadores, discos duros, software, errores de técnicos o usuarios, pérdida o extravío de datos)

    3. incidentes intencionados (intrusión en sistemas informáticos o instalaciones, robo de datos/equipos, fuga de información, divulgación de datos a personas no autorizadas, destrucción consciente de documentos/datos, virus u otro software malicioso)

  4. En caso de detectarse un incidente, el Administrador (o, en caso de designación, el DPD) realiza un procedimiento de investigación que incluye:

    1. determinar el alcance y las causas del incidente y sus posibles consecuencias

    2. iniciar acciones disciplinarias si procede

    3. actuar para restaurar las operaciones de la organización tras el incidente

    4. recomendar medidas preventivas para evitar incidentes similares en el futuro o
      reducir pérdidas en caso de que ocurran

  5. El Administrador documenta todas las violaciones de protección de datos personales, incluidas las circunstancias, consecuencias y acciones correctivas tomadas.

  6. Se prohíbe causar incidentes de manera consciente o inconsciente por personas autorizadas a procesar datos.

  7. En caso de violación de la protección de datos personales que conlleve riesgo para los derechos o libertades de las personas físicas, el Administrador lo comunica, sin demora indebida – en la medida de lo posible, no más tarde de 72 horas después de detectar la violación – a la autoridad de control.

  8. Si la violación de la protección de datos personales puede suponer un alto riesgo para los derechos o libertades de las personas físicas, el Administrador informa inmediatamente a la persona afectada sobre dicha violación.

Registro de actividades de tratamiento

El Administrador mantiene un registro de actividades de tratamiento de acuerdo con las directrices establecidas en el RGPD.

Auditorías

De acuerdo con el art. 32 del RGPD, el Administrador debe probar, medir y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.