PARA EL TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
ÍNDICE
ELABORADO por: ITZIAR ABREU DE CON
(Fecha: 10/01/2018)
APROBADO por:
CONSEJO DE
DIRECCIÓN de SPEAK SMILE IDIOMAS S.L, CIF.: B01539154
(Fecha: 22/01/2018 )
a. MARCO NORMATIVO
b. ÁMBITO DE APLICACIÓN
c. ENTRADA EN VIGOR
4.
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
a. CALIDAD DE LOS DATOS
b.
DERECHO DE
INFORMACIÓN EN LA RECOGIDA DE DATOS
c. CONSENTIMIENTO DEL
AFECTADO
d.
PRINCIPIO
DE SEGURIDAD DE LOS DATOS
e.
EL
DEBER DE SECRETO EN EL TRATAMIENTO DE DATOS
f. DATOS
ESPECIALMENTE PROTEGIDOS
g. COMUNICACIÓN
DE DATOS
1.
INTRODUCCIÓN
En la sociedad de nuestros días vivimos en un universo digital de datos.
La proliferación de ordenadores, teléfonos inteligentes y la vertiginosa
evolución de Internet han tenido como consecuencia una expansión sin
precedentes de los datos de carácter personal que se gestionan.
Por lo tanto, una empresa como la nuestra, tiene que afrontar este hecho.
SPEAK SMILE S.L tiene entre sus
objetivos garantizar la protección de los datos de carácter personal de todas
aquellas personas que con ella se relacionan: alumnos, profesores, clientes, proveedores y en general, cualquier
otro ciudadano que en algún momento de
su vida tenga relación con nuestra empresa.
2. OBJETIVO DEL CÓDIGO DE CONDUCTA
Los códigos de
conducta constituyen un instrumento de lo que se denomina autorregulación, es
decir, la capacidad de las organizaciones para regularse a sí mismas.
En el ámbito de
la protección de datos de carácter personal esa capacidad está orientada a la
adopción de reglas o estándares específicos que permitan armonizar los
tratamientos de datos efectuados por quienes se adhieran al código de conducta
o lo promuevan y a facilitar el ejercicio de los derechos de los afectados y
favorecer el cumplimiento de la normativa.
Conforme a los requisitos establecidos en el
artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (en adelante LOPD) y los artículos 71 y ss. del
Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de
21 de diciembre (en adelante RLOPD), SPEAK
SMILE IDIOMAS pretende disponer de un Código de Conducta que establezca la regulación en materia de
seguridad respecto a la totalidad de los tratamientos de datos de carácter
personal de los que es titular, el régimen de funcionamiento, los
procedimientos aplicables, las obligaciones de los usuarios del Sistema de
Información implicados en el tratamiento y uso de la información de carácter
personal, así como las garantías de cumplimiento normativo conforme a los
principios que rigen la LOPD y el RLOPD.
Debemos tener
en cuenta que el Código de Conducta
tiene carácter deontológico o de buena práctica profesional.
Por ello, una
vez aprobado por el Consejo de Dirección, deberá ser notificado a las partes
interesadas.
Las
actualizaciones meramente formales, en su caso, podrán ser aprobadas por el
Comité de Seguridad de la Información.
El Código de
Conducta deberá estar redactado en términos claros y accesibles y deberá
desarrollar, como mínimo los aspectos que se relacionan a continuación:
-La delimitación clara y precisa de su ámbito de aplicación,
las actividades a que el código se refiere y los tratamientos sometidos al
mismo.
-Las previsiones específicas para la aplicación de los
principios de protección de datos.
-El establecimiento de procedimientos que faciliten el
ejercicio por los afectados de sus derechos de acceso, rectificación,
cancelación y oposición a sus datos personales.
-La determinación de las cesiones y transferencias de datos
que, en su caso, se prevean, con indicación de las garantías que deban
adoptarse.
-Las acciones formativas en materia de protección de datos dirigidas
a quienes traten datos de carácter personal, especialmente en cuanto a su
relación con los afectados.
-Los mecanismos
de supervisión a través de los cuales se garantice el cumplimiento de lo
establecido en el Código Tipo.
En particular
deberá contenerse en el Código:
-Cláusulas tipo para la obtención del consentimiento de los
afectados al tratamiento o cesión de sus datos.
-Cláusulas tipo para informar a los afectados del
tratamiento, cuando los datos no sean obtenidos de los mismos.
-Información precisa para el ejercicio por los afectados de
sus derechos de acceso, rectificación, cancelación y oposición a sus datos personales.
-Información del Delegado de protección de datos encargado del
tratamiento.
3. CONTENIDO
DEL CÓDIGO TIPO
MARCO NORMATIVO
·Constitución Española. Art. 18.4
·Reglamento (UE) 2016/679 del Parlamento europeo y del
Consejo de 27 de abril, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, aplicable a partir del 25 de mayo de 2018.
·Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (LOPD)
·Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter personal (RLOPD)
·Instrucción 1/1998, de 19 de enero, de la Agencia Española
de Protección de Datos relativa al ejercicio de los derechos de acceso,
rectificación y cancelación
ÁMBITO DE
APLICACIÓN
SPEAK SMILE
IDIOMAS tiene entre sus objetivos garantizar la protección de los datos de
carácter personal de todas aquellas personas que con ella se relacionan:
alumnos, profesores, clientes, proveedores y en general, cualquier otro
ciudadano que en algún momento de su vida tenga relación con nuestra empresa.
SPEAK SMILE
IDIOMAS aplicará lo dispuesto en este Código de Conducta.
Este Código de
buenas prácticas será aplicable a todo tratamiento de datos de carácter
personal titularidad de SPEAK SMILE IDIOMAS , con independencia del soporte en
el que se encuentren.
Todos los
usuarios del Sistema de Información, así como el Delegado de Protección de
Datos encargados del Tratamiento, quedarán obligados a cumplir las
disposiciones contenidas en este texto.
ENTRADA EN
VIGOR
El presente
Código entrará en vigor y será plenamente eficaz a partir de la firma por el
consejo de Dirección.
El presente
Código tiene una duración indefinida, si bien por la propia naturaleza de las
exigencias contenidas en el mismo, podrá ser modificado para su actualización.
Los cambios a
introducir en tales situaciones serán elaborados por el Delegado de Protección
de Datos en base a las competencias que tiene atribuidas en el presente Código,
siendo notificados y aprobados por el Consejo de Dirección.
Igualmente, se pondrá en conocimiento de los usuarios del Sistema
de Información de SPEAK SMILE, toda modificación del presente Código, el cual
se entenderá aceptado y asumido por la Entidad si en el plazo de 10 días desde
su recepción nadie manifiesta su voluntad contraria al mismo.
4.
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Los principios de la protección de datos
constituyen la base mediante la cual se articula el derecho fundamental a la
protección de datos.
Como medida prioritaria, se realizará un análisis de los datos de
carácter personal manejados en SPEAK
SMILE IDIOMAS a fin de establecer el riesgo de estos datos y establecer medidas
de protección en base a su criticidad.
Son de obligado
cumplimiento desde el momento en que se produce la recogida de los datos de un
interesado o afectado (persona titular de los datos), siempre y cuando dichos
datos sean almacenados en un fichero, ya sea total o parcialmente automatizado,
o en papel.
Dado el carácter obligatorio, tanto los usuarios
del Sistema de Información como, en su caso, quien se encargue del tratamiento
deben adoptar las medidas necesarias para que no sean vulnerados.
El incumplimiento puede suponer una lesión del
derecho fundamental a la protección de datos de carácter personal.
a. CALIDAD DE
LOS DATOS
El principio de
calidad de los datos establece una serie de fundamentos, por los que deben ser
recogidos y tratados los datos personales.
Licitud en la recogida de datos.- Está prohibida la recogida de datos por medios
fraudulentos o engañosos, que induzcan a error a la persona respecto a la
finalidad para la que se recaban los datos.
Pertinencia,
adecuación y finalidad de los datos.- Los datos
personales que se recojan deben ser adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades para las que hayan sido obtenidos. Se
trata de evitar una recopilación de datos masiva que se aparte de la necesidad
y finalidad para la que dichos datos pretendan ser utilizados y tratados.
Compatibilidad
y uso no distinto por el que se facilitaron los datos.- No podrán utilizarse los datos para finalidades incompatibles
o distintas de las inicialmente previstas.
Especificación
y legitimidad de la finalidad.- La finalidad
debe estar expresada (determinada), especificada (explícita) y no ser contraria
a la Ley (legítima).
Veracidad,
actualización y exactitud de los datos.- Los datos
deberán ser exactos y mantenerse actualizados, de manera que respondan con
veracidad a la situación actual de su titular.
Limitación temporal en la conservación de los
datos.- Los datos personales
sólo deben conservarse durante el tiempo necesario para las finalidades del
tratamiento para el que han sido
recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o
pertinentes para el fin con el que se obtuvieron.
b. DERECHO DE
INFORMACIÓN EN LA RECOGIDA DE DATOS
El derecho de
información establece las condiciones en que se deben recoger, tratar y ceder
los datos de carácter personal para salvaguardar la intimidad y demás derechos
fundamentales.
A través del
derecho de información en la recogida de datos, la LOPD establece a la vez un
derecho para el ciudadano y un deber para el Responsable del Fichero.
Por un lado, el
ciudadano tiene derecho a saber quién recoge sus datos, para qué los recoge,
quién va a ser en su caso destinatario de esa información, los derechos que le
asisten y dónde dirigirse para poder ejercerlos. Y por otro lado, el
Responsable del Fichero tiene la obligación de informar al interesado, cuyos
datos van a ser tratados, en los términos regulados en el artículo 5 de la
LOPD, de forma previa, expresa, precisa e inequívoca, acerca de lo
siguiente:
·
De la incorporación de
sus datos a un fichero.
·
De la identidad y
dirección del Responsable del Fichero.
·
De la finalidad o uso
del fichero.
·
De los destinatarios o
cesionarios de los datos personales.
·
Del carácter
obligatorio o facultativo de la respuesta en un cuestionario.
·
De las consecuencias,
ante la negativa a suministrar los datos personales.
·
De la posibilidad de
ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Esta
información ha de estar contemplada, de forma suficientemente legible y
accesible, en los formularios o cuestionarios, en papel o electrónicos
(Internet), que se utilicen para recoger los datos o en los documentos
manejados y que contengan datos (contratos mercantiles, informes…)
En el caso de
que los datos de carácter personal no hubieran sido recabados o proporcionados
directamente por la persona, el Responsable del Fichero o su representante
deben informarle de esa recogida dentro de los tres meses siguientes al momento del
registro de los datos, salvo que ya hubiera sido informado con anterioridad.
Si está
previsto que los datos sean transmitidos a otras personas, la información debe
realizarse antes de la primera cesión o comunicación de los datos.
Este derecho de
información es esencial porque condiciona el ejercicio de otros derechos tales
como el derecho de acceso, rectificación, cancelación y oposición, expuestos a
continuación.
c. CONSENTIMIENTO
DEL AFECTADO
Para el
tratamiento o, en su caso, cesión o comunicación de datos de carácter personal,
como regla general, se deberá recabar el consentimiento inequívoco del afectado
o interesado.
No obstante, la
Ley prevé una serie de excepciones a la obligación de obtener este consentimiento,
por parte del titular del fichero:
· Cuando así lo autorice
una Ley o una norma de derecho comunitario europeo.
· Cuando se refieran a
las partes de un contrato o precontrato de una relación mercantil, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento.
·
Cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado.
· El consentimiento al
tratamiento de los datos podrá ser revocado cuando exista causa justificada
para ello y no se le atribuyan efectos retroactivos.
La revocación
del consentimiento se ha de poder manifestar a través de un medio sencillo y
gratuito.
En particular,
no será válido que el Responsable del Fichero o Tratamiento exija para revocar
el consentimiento el envío de cartas certificadas o sistemas semejantes, la
utilización de servicios de telecomunicaciones que impliquen una tarificación
adicional al afectado (como llamadas a números 902 o similares) o cualquier
otro medio que implique un coste adicional.
Cuando se
revoque el consentimiento, el Responsable del Fichero deberá cesar en el
tratamiento de los datos en el plazo máximo de 10 días hábiles desde que
recibiera la comunicación.
Asimismo, en
aquellos casos en que el Responsable del Fichero hubiese cedido los datos a
terceros, deberá comunicarle a éstos, en el plazo de 10 días hábiles, la
revocación del consentimiento para que ellos también cesen en el tratamiento de
los datos.
d. PRINCIPIO DE
SEGURIDAD DE LOS DATOS
El Responsable
de los Ficheros y, en su caso, a quien
éste encargue el tratamiento de los datos, deberán adoptar las medidas técnicas
y organizativas necesarias para garantizar la seguridad de los datos personales
integrados en los ficheros, evitando que éstos puedan perderse, alterarse,
usarse o ser accesibles a personas no autorizadas.
Las medidas de
seguridad se adoptarán tomando en consideración el estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana o del medio físico o natural.
La normativa
prevé medidas de seguridad para los ficheros automatizados (informáticos) y no
automatizados (en papel), según la naturaleza de los datos personales que
contengan.
e. DEBER DE
SECRETO EN EL TRATAMIENTO DE DATOS
El Responsable
de los Ficheros y quienes intervengan en
cualquier fase del tratamiento de los datos personales, están obligados a
guardar secreto profesional respecto de los mismos.
Además, existen
obligaciones que subsistirán aún después de finalizar sus relaciones con el
titular del fichero (Responsable del Fichero).
Teniendo en
cuenta estas circunstancias, el Responsable de los Ficheros no sólo debe
preocuparse por respetar su propio deber de secreto, también debe asegurarse de
que todo el personal a su servicio mantiene la confidencialidad del
tratamiento, para lo cual se deben adoptar, al menos, las siguientes medidas:
·
Informar al personal
de su deber de secreto.
· El Responsable del
Fichero deberá asegurarse de que todo el personal a su cargo (tanto personal
interno como usuarios externos, subcontratados), conoce su obligación respecto
a los datos personales a los que tenga acceso y las consecuencias de su
incumplimiento.
·
Adoptar las medidas
necesarias para garantizar la confidencialidad de los datos a los que se ha
accedido, implantando las medidas técnicas y de carácter organizativo
necesarias para impedir que el personal a su servicio pueda revelar datos de
carácter personal a terceras personas.
f.
Datos especialmente protegidos
Los datos especialmente protegidos
son aquellos que revelan la ideología, afiliación sindical, religión o
creencias de la persona y que sólo con el consentimiento expreso y por escrito
puede ser objeto de tratamiento.
Esto está relacionado con el mandato
constitucional de que nadie puede ser obligado a declarar sobre su ideología,
religión o creencias.
Son también datos especialmente
protegidos los que hacen referencia al origen racial o étnico, vida sexual y a
la salud (se entiende por datos de salud, datos pasados, presentes y futuros,
sobre el estado físico o mental de una persona, los datos relativos al grado o
porcentaje de su minusvalía, así como información genética).
SPEAK SMILE IDIOMAS tiene declarados ficheros con
nivel de seguridad bajo, debido a que,
principalmente, se recaban datos:
1.
De contacto de
los alumnos.
2. Laborales de
los profesores y necesarios para su contratación y el pago de salarios e
impuestos y cotizaciones.
3.
Para la
redacción y firma de contratos mercantiles con clientes y proveedores
g. COMUNICACIÓN
DE DATOS
Los datos de
carácter personal objeto del tratamiento sólo podrán ser comunicados a un
tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado.
El
consentimiento exigido en el apartado anterior no será preciso, sin perjuicio
de lo dispuesto en el artículo 10 del Reglamento de desarrollo de la LOPD
aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en los siguientes
supuestos:
a) Cuando la cesión está
autorizada en una Ley.
b) Cuando se trate de
datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento
responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho
tratamiento con ficheros de terceros. En este caso la comunicación sólo será
legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación
que deba efectuarse tenga por destinatario al el Ministerio Fiscal o los Jueces
o Tribunales o Admninstración en el ejercicio de las funciones que tiene
atribuidas.
Será nulo el
consentimiento para la comunicación de los datos de carácter personal a un
tercero, cuando la información que se facilite al interesado no le permita
conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o
el tipo de actividad de aquel a quien se pretenden comunicar.
El
consentimiento para la comunicación de los datos de carácter personal tiene
también carácter revocable.
Aquél a quien se
comuniquen los datos de carácter personal se obliga, por el solo hecho de la
comunicación, a la observancia de las disposiciones de la LOPD y REPD.
SPEAK SMILE
IDIOMAS, en cumplimiento de la legislación vigente, realiza las siguientes
comunicaciones para el ejercicio de las funciones que tienen atribuidas y en
los supuestos y condiciones establecidos en la normativa correspondiente:
No se considerará comunicación de datos el acceso a
un tercero a los datos cuando dicho acceso sea necesario para la prestación de
un servicio de SPEAK SMILE IDIOMAS.
5. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
Junto a los
anteriores principios rectores del tratamiento de datos de carácter personal,
la normativa reconoce, de forma expresa, a la persona los derechos de acceso,
rectificación, cancelación y oposición y que atienden a las siguientes
características y reglas para ser ejercitados por la persona.
Los derechos son
personales, por lo que sólo pueden ser ejercidos por la propia persona, titular
de los datos.
En todo caso,
cualquier persona puede ejercitar estos derechos a través de representante
voluntario, esto es, persona que libremente se elija para que actúe, en su
nombre y representación.
No es preciso
que la autorización o los poderes otorgados consten en escritura pública
formalizada ante Notario. No se admite el apoderamiento verbal.
Son derechos
independientes, por lo que no hay que ejercitar uno para poder ejercitar
después otro. Por ejemplo, el derecho de acceso no ha de ejercitarse
necesariamente
de forma previa
a la solicitud de rectificación o cancelación de datos personales, aunque ayude
a constatar un tratamiento de datos erróneo o que no deberían ser tratados.
El titular de los
ficheros (Responsable del Fichero) debe proporcionar medios sencillos y
gratuitos para que la persona pueda ejercitar estos derechos.
La solicitud o
petición de ejercicio de derechos ha de contener la siguiente información y
documentación:
·
Nombre y apellidos del
interesado.
·
Fotocopia de su DNI, o
de su pasaporte u otro documento válido que lo identifique y, en su caso, de la
persona que lo represente, o instrumentos electrónicos equivalentes
·
Petición en que se
concreta la solicitud.
·
Dirección a efectos de
notificaciones.
·
Fecha y firma del
solicitante.
·
En su caso, documentos
acreditativos de la petición que formula.
Además, la
persona tiene derecho a que su solicitud sea contestada por el titular del
fichero (Responsable del Fichero), incluso en el supuesto en que sus datos no
figuren en los ficheros de dicho Responsable. En tal caso, el Responsable de
fichero o Tratamiento deberá informar de la ausencia de datos en su fichero.
Si la solicitud
no reuniese los requisitos necesarios, el afectado tiene derecho a que el
titular del fichero (Responsable del Fichero o Tratamiento) le solicitase su
subsanación.
6. FORMACIÓN E INFORMACIÓN EN PROTECCIÓN DE DATOS
La eficacia del
Código no se logra con el mero cumplimiento formal de las obligaciones
establecidas en la LOPD y en el RLOPD. La eficacia del Código se logrará cuando
se alcance un alto nivel de concienciación por parte de los usuarios del
Sistema de Información.
Para cumplir dicho objetivo, SPEAK SMILE informará, asesorará y formará cuando se
estime oportuno y necesario.
7. GESTIÓN DE LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL
La LOPD define
como Responsable de los Ficheros a la “persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento”.
A estos efectos, la UNED se erige como Responsable de todos
aquéllos ficheros, con datos de carácter personal, que obran en sus sistemas de
información (informático y en papel), y que derivan de la prestación de los
servicios atribuidos.
De conformidad con la normativa en materia de protección de
datos, toda persona o entidad que posea ficheros con datos personales está
obligada a inscribir en el Registro General de protección de Datos, la
estructura de los ficheros de que disponga (artículo 26.1.LOPD).
SPEAK SMILE
IDIOMAS S.L tiene inscritos en el Registro General de protección de Datos de la
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS desde septiembre 2015 los siguientes
ficheros,
De conformidad con los artículos 96 y 110 del RLOPD, a partir del nivel medio, los sistemas de
información e instalaciones de tratamiento y almacenamiento de datos se someterán,
al menos cada dos años, a una auditoría interna o externa que verifique el
cumplimiento del presente título.
Del análisis de riego efectuado se considera que los datos de carácter
personal manejados por SPEAK SMILE IDIOMAS son de nivel bajo.
Esta figura, de nueva creación por el Reglamento
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, será
designada atendiendo a sus cualidades profesionales y en particular, a sus conocimientos
específicos y a su capacidad para desempeñar las funciones indicadas en esta
materia.
En SPEAK SMILE IDIOMAS esta figura, comunicada y
registrada en la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, recae en,
Itziar Abreu De Con Directora de Operaciones y Desarrollo
info@speaksmile.com