Código de conducta


CODIGO DE CONDUCTA
PARA EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL    


ELABORADO por: ITZIAR ABREU DE CON
(Fecha: 10/01/2018)

APROBADO por:
CONSEJO DE DIRECCIÓN de  SPEAK SMILE IDIOMAS  S.L, CIF.: B01539154
 (Fecha: 22/01/2018 )
 
ÍNDICE

1.      INTRODUCCIÓN

2.      OBJETIVO DEL CÓDIGO DE CONDUCTA

3.      CONTENIDO DEL CÓDIGO TIPO

a.      MARCO NORMATIVO
b.      ÁMBITO DE APLICACIÓN
c.      ENTRADA EN VIGOR

4.      PRINCIPIOS DE LA PROTECCIÓN DE DATOS

a.      CALIDAD DE LOS DATOS
b.      DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS
c.      CONSENTIMIENTO DEL AFECTADO
d.      PRINCIPIO DE SEGURIDAD DE LOS DATOS 
e.      EL DEBER DE SECRETO EN EL TRATAMIENTO DE DATOS 
f.       DATOS ESPECIALMENTE PROTEGIDOS
g.      COMUNICACIÓN DE DATOS

5.      DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

6.      FORMACIÓN E INFORMACIÓN  EN MATERIA DE PROTECCIÓN DE DATOS

7.      GESTIÓN DE LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL

8.      EL DELEGADO DE PROTECCIÓN DE DATOS DE SPEAK SMILE IDIOMAS


1. INTRODUCCIÓN
En la sociedad de nuestros días vivimos en un universo digital de datos. La proliferación de ordenadores, teléfonos inteligentes y la vertiginosa evolución de Internet han tenido como consecuencia una expansión sin precedentes de los datos de carácter personal que se gestionan.
Por lo tanto, una empresa como la nuestra, tiene que afrontar este hecho.
SPEAK SMILE  S.L tiene entre sus objetivos garantizar la protección de los datos de carácter personal de todas aquellas personas que con ella se relacionan: alumnos, profesores,  clientes, proveedores y en general, cualquier otro ciudadano  que en algún momento de su vida tenga relación con nuestra empresa.

2. OBJETIVO DEL CÓDIGO DE CONDUCTA
Los códigos de conducta constituyen un instrumento de lo que se denomina autorregulación, es decir, la capacidad de las organizaciones para regularse a sí mismas.

En el ámbito de la protección de datos de carácter personal esa capacidad está orientada a la adopción de reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por quienes se adhieran al código de conducta o lo promuevan y a facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de la normativa.

Conforme a los requisitos establecidos en el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y los artículos 71 y ss. del Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre (en adelante RLOPD), SPEAK SMILE IDIOMAS pretende disponer de un Código de Conducta  que establezca la regulación en materia de seguridad respecto a la totalidad de los tratamientos de datos de carácter personal de los que es titular, el régimen de funcionamiento, los procedimientos aplicables, las obligaciones de los usuarios del Sistema de Información implicados en el tratamiento y uso de la información de carácter personal, así como las garantías de cumplimiento normativo conforme a los principios que rigen la LOPD y el RLOPD.
Debemos tener en cuenta que el Código de Conducta  tiene carácter deontológico o de buena práctica profesional.
Por ello, una vez aprobado por el Consejo de Dirección, deberá ser notificado a las partes interesadas.
Las actualizaciones meramente formales, en su caso, podrán ser aprobadas por el Comité de Seguridad de la Información.
El Código de Conducta deberá estar redactado en términos claros y accesibles y deberá desarrollar, como mínimo los aspectos que se relacionan a continuación:

-La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el código se refiere y los tratamientos sometidos al mismo.
-Las previsiones específicas para la aplicación de los principios de protección de datos.
-El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición a sus datos personales.
-La determinación de las cesiones y transferencias de datos que, en su caso, se prevean, con indicación de las garantías que deban adoptarse.
-Las acciones formativas en materia de protección de datos dirigidas a quienes traten datos de carácter personal, especialmente en cuanto a su relación con los afectados.
-Los mecanismos de supervisión a través de los cuales se garantice el cumplimiento de lo establecido en el Código Tipo.

En particular deberá contenerse en el Código:

-Cláusulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos.
-Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.
-Información precisa para el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición a sus datos personales.
-Información del  Delegado de protección de datos encargado del tratamiento.

3. CONTENIDO DEL CÓDIGO TIPO
MARCO NORMATIVO

·Constitución Española. Art. 18.4
·Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, aplicable a partir del 25 de mayo de 2018.
·Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
·Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal (RLOPD)
·Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos relativa al ejercicio de los derechos de acceso, rectificación y cancelación

ÁMBITO DE APLICACIÓN

SPEAK SMILE IDIOMAS tiene entre sus objetivos garantizar la protección de los datos de carácter personal de todas aquellas personas que con ella se relacionan: alumnos, profesores, clientes, proveedores y en general, cualquier otro ciudadano que en algún momento de su vida tenga relación con nuestra empresa.

SPEAK SMILE IDIOMAS aplicará lo dispuesto en este Código de Conducta.

Este Código de buenas prácticas será aplicable a todo tratamiento de datos de carácter personal titularidad de SPEAK SMILE IDIOMAS , con independencia del soporte en el que se encuentren.

Todos los usuarios del Sistema de Información, así como el Delegado de Protección de Datos encargados del Tratamiento, quedarán obligados a cumplir las disposiciones contenidas en este texto.

ENTRADA EN VIGOR

El presente Código entrará en vigor y será plenamente eficaz a partir de la firma por el consejo de Dirección.

El presente Código tiene una duración indefinida, si bien por la propia naturaleza de las exigencias contenidas en el mismo, podrá ser modificado para su actualización.

Los cambios a introducir en tales situaciones serán elaborados por el Delegado de Protección de Datos en base a las competencias que tiene atribuidas en el presente Código, siendo notificados y aprobados por el Consejo de Dirección.

Igualmente, se pondrá en conocimiento de los usuarios del Sistema de Información de SPEAK SMILE, toda modificación del presente Código, el cual se entenderá aceptado y asumido por la Entidad si en el plazo de 10 días desde su recepción nadie manifiesta su voluntad contraria al mismo.


4. PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Los principios de la protección de datos constituyen la base mediante la cual se articula el derecho fundamental a la protección de datos.

Como medida prioritaria, se realizará un análisis de los datos de carácter personal  manejados en SPEAK SMILE IDIOMAS a fin de establecer el riesgo de estos datos y establecer medidas de protección en base a su criticidad.

Son de obligado cumplimiento desde el momento en que se produce la recogida de los datos de un interesado o afectado (persona titular de los datos), siempre y cuando dichos datos sean almacenados en un fichero, ya sea total o parcialmente automatizado, o en papel.

Dado el carácter obligatorio, tanto los usuarios del Sistema de Información como, en su caso, quien se encargue del tratamiento deben adoptar las medidas necesarias para que no sean vulnerados.
El incumplimiento puede suponer una lesión del derecho fundamental a la protección de datos de carácter personal.

a. CALIDAD DE LOS DATOS

El principio de calidad de los datos establece una serie de fundamentos, por los que deben ser recogidos y tratados los datos personales.

Licitud en la recogida de datos.- Está prohibida la recogida de datos por medios fraudulentos o engañosos, que induzcan a error a la persona respecto a la finalidad para la que se recaban los datos.
Pertinencia, adecuación y finalidad de los datos.- Los datos personales que se recojan deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que hayan sido obtenidos. Se trata de evitar una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados.
Compatibilidad y uso no distinto por el que se facilitaron los datos.- No podrán utilizarse los datos para finalidades incompatibles o distintas de las inicialmente previstas.
Especificación y legitimidad de la finalidad.- La finalidad debe estar expresada (determinada), especificada (explícita) y no ser contraria a la Ley (legítima).
Veracidad, actualización y exactitud de los datos.- Los datos deberán ser exactos y mantenerse actualizados, de manera que respondan con veracidad a la situación actual de su titular.
Limitación temporal en la conservación de los datos.- Los datos personales sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento   para el que han sido recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para el fin con el que se obtuvieron.

b. DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS

El derecho de información establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales.

A través del derecho de información en la recogida de datos, la LOPD establece a la vez un derecho para el ciudadano y un deber para el Responsable del Fichero.

Por un lado, el ciudadano tiene derecho a saber quién recoge sus datos, para qué los recoge, quién va a ser en su caso destinatario de esa información, los derechos que le asisten y dónde dirigirse para poder ejercerlos. Y por otro lado, el Responsable del Fichero tiene la obligación de informar al interesado, cuyos datos van a ser tratados, en los términos regulados en el artículo 5 de la LOPD, de forma previa, expresa, precisa e inequívoca, acerca de lo siguiente:

·         De la incorporación de sus datos a un fichero.
·         De la identidad y dirección del Responsable del Fichero.
·         De la finalidad o uso del fichero.
·         De los destinatarios o cesionarios de los datos personales.
·         Del carácter obligatorio o facultativo de la respuesta en un cuestionario.
·         De las consecuencias, ante la negativa a suministrar los datos personales.
·         De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Esta información ha de estar contemplada, de forma suficientemente legible y accesible, en los formularios o cuestionarios, en papel o electrónicos (Internet), que se utilicen para recoger los datos o en los documentos manejados y que contengan datos (contratos mercantiles, informes…)

En el caso de que los datos de carácter personal no hubieran sido recabados o proporcionados directamente por la persona, el Responsable del Fichero o su representante deben informarle de esa recogida dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad.

Si está previsto que los datos sean transmitidos a otras personas, la información debe realizarse antes de la primera cesión o comunicación de los datos.

Este derecho de información es esencial porque condiciona el ejercicio de otros derechos tales como el derecho de acceso, rectificación, cancelación y oposición, expuestos a continuación.


c. CONSENTIMIENTO DEL AFECTADO

Para el tratamiento o, en su caso, cesión o comunicación de datos de carácter personal, como regla general, se deberá recabar el consentimiento inequívoco del afectado o interesado.

No obstante, la Ley prevé una serie de excepciones a la obligación de obtener este consentimiento, por parte del titular del fichero:

·    Cuando así lo autorice una Ley o una norma de derecho comunitario europeo.
·   Cuando se refieran a las partes de un contrato o precontrato de una relación mercantil, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
·    Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
·    El consentimiento al tratamiento de los datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

La revocación del consentimiento se ha de poder manifestar a través de un medio sencillo y gratuito.

En particular, no será válido que el Responsable del Fichero o Tratamiento exija para revocar el consentimiento el envío de cartas certificadas o sistemas semejantes, la utilización de servicios de telecomunicaciones que impliquen una tarificación adicional al afectado (como llamadas a números 902 o similares) o cualquier otro medio que implique un coste adicional.

Cuando se revoque el consentimiento, el Responsable del Fichero deberá cesar en el tratamiento de los datos en el plazo máximo de 10 días hábiles desde que recibiera la comunicación.

Asimismo, en aquellos casos en que el Responsable del Fichero hubiese cedido los datos a terceros, deberá comunicarle a éstos, en el plazo de 10 días hábiles, la revocación del consentimiento para que ellos también cesen en el tratamiento de los datos.


d. PRINCIPIO DE SEGURIDAD DE LOS DATOS

El Responsable de los Ficheros  y, en su caso, a quien éste encargue el tratamiento de los datos, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que éstos puedan perderse, alterarse, usarse o ser accesibles a personas no autorizadas.

Las medidas de seguridad se adoptarán tomando en consideración el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

La normativa prevé medidas de seguridad para los ficheros automatizados (informáticos) y no automatizados (en papel), según la naturaleza de los datos personales que contengan.


e. DEBER DE SECRETO EN EL TRATAMIENTO DE DATOS

El Responsable de los  Ficheros y quienes intervengan en cualquier fase del tratamiento de los datos personales, están obligados a guardar secreto profesional respecto de los mismos.

Además, existen obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero (Responsable del Fichero).

Teniendo en cuenta estas circunstancias, el Responsable de los Ficheros no sólo debe preocuparse por respetar su propio deber de secreto, también debe asegurarse de que todo el personal a su servicio mantiene la confidencialidad del tratamiento, para lo cual se deben adoptar, al menos, las siguientes medidas:

·         Informar al personal de su deber de secreto.
·     El Responsable del Fichero deberá asegurarse de que todo el personal a su cargo (tanto personal interno como usuarios externos, subcontratados), conoce su obligación respecto a los datos personales a los que tenga acceso y las consecuencias de su incumplimiento.
·         Adoptar las medidas necesarias para garantizar la confidencialidad de los datos a los que se ha accedido, implantando las medidas técnicas y de carácter organizativo necesarias para impedir que el personal a su servicio pueda revelar datos de carácter personal a terceras personas.

f.  Datos especialmente protegidos

Los datos especialmente protegidos son aquellos que revelan la ideología, afiliación sindical, religión o creencias de la persona y que sólo con el consentimiento expreso y por escrito puede ser objeto de tratamiento.

Esto está relacionado con el mandato constitucional de que nadie puede ser obligado a declarar sobre su ideología, religión o creencias.

Son también datos especialmente protegidos los que hacen referencia al origen racial o étnico, vida sexual y a la salud (se entiende por datos de salud, datos pasados, presentes y futuros, sobre el estado físico o mental de una persona, los datos relativos al grado o porcentaje de su minusvalía, así como información genética).

SPEAK SMILE IDIOMAS tiene declarados ficheros con nivel de seguridad bajo, debido a que, principalmente, se recaban datos:

1.      De contacto de los alumnos.
2.    Laborales de los profesores y necesarios para su contratación y el pago de salarios e impuestos y cotizaciones.
3.      Para la redacción y firma de contratos mercantiles con clientes y proveedores
                                         

g. COMUNICACIÓN DE DATOS

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento exigido en el apartado anterior no será preciso, sin perjuicio de lo dispuesto en el artículo 10 del Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en los siguientes supuestos:

a) Cuando la cesión está autorizada en una Ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al el Ministerio Fiscal o los Jueces o Tribunales o Admninstración en el ejercicio de las funciones que tiene atribuidas.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

El consentimiento para la comunicación de los datos de carácter personal tiene también carácter revocable.

Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la LOPD y REPD.

SPEAK SMILE IDIOMAS, en cumplimiento de la legislación vigente, realiza las siguientes comunicaciones para el ejercicio de las funciones que tienen atribuidas y en los supuestos y condiciones establecidos en la normativa correspondiente:

No se considerará comunicación de datos el acceso a un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio de SPEAK SMILE IDIOMAS.


5. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
Junto a los anteriores principios rectores del tratamiento de datos de carácter personal, la normativa reconoce, de forma expresa, a la persona los derechos de acceso, rectificación, cancelación y oposición y que atienden a las siguientes características y reglas para ser ejercitados por la persona.

Los derechos son personales, por lo que sólo pueden ser ejercidos por la propia persona, titular de los datos.

En todo caso, cualquier persona puede ejercitar estos derechos a través de representante voluntario, esto es, persona que libremente se elija para que actúe, en su nombre y representación.

No es preciso que la autorización o los poderes otorgados consten en escritura pública formalizada ante Notario. No se admite el apoderamiento verbal.

Son derechos independientes, por lo que no hay que ejercitar uno para poder ejercitar después otro. Por ejemplo, el derecho de acceso no ha de ejercitarse necesariamente

de forma previa a la solicitud de rectificación o cancelación de datos personales, aunque ayude a constatar un tratamiento de datos erróneo o que no deberían ser tratados.

El titular de los ficheros (Responsable del Fichero) debe proporcionar medios sencillos y gratuitos para que la persona pueda ejercitar estos derechos.

La solicitud o petición de ejercicio de derechos ha de contener la siguiente información y documentación:

·         Nombre y apellidos del interesado.
·         Fotocopia de su DNI, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes
·         Petición en que se concreta la solicitud.
·         Dirección a efectos de notificaciones.
·         Fecha y firma del solicitante.
·         En su caso, documentos acreditativos de la petición que formula.

Además, la persona tiene derecho a que su solicitud sea contestada por el titular del fichero (Responsable del Fichero), incluso en el supuesto en que sus datos no figuren en los ficheros de dicho Responsable. En tal caso, el Responsable de fichero o Tratamiento deberá informar de la ausencia de datos en su fichero.

Si la solicitud no reuniese los requisitos necesarios, el afectado tiene derecho a que el titular del fichero (Responsable del Fichero o Tratamiento) le solicitase su subsanación.

6. FORMACIÓN E INFORMACIÓN  EN PROTECCIÓN DE DATOS
La eficacia del Código no se logra con el mero cumplimiento formal de las obligaciones establecidas en la LOPD y en el RLOPD. La eficacia del Código se logrará cuando se alcance un alto nivel de concienciación por parte de los usuarios del Sistema de Información.

Para cumplir dicho objetivo, SPEAK SMILE  informará, asesorará y formará cuando se estime oportuno y  necesario.



7. GESTIÓN DE LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL
La LOPD define como Responsable de los Ficheros a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.

A estos efectos, la UNED se erige como Responsable de todos aquéllos ficheros, con datos de carácter personal, que obran en sus sistemas de información (informático y en papel), y que derivan de la prestación de los servicios atribuidos.
De conformidad con la normativa en materia de protección de datos, toda persona o entidad que posea ficheros con datos personales está obligada a inscribir en el Registro General de protección de Datos, la estructura de los ficheros de que disponga (artículo 26.1.LOPD).
SPEAK SMILE IDIOMAS S.L tiene inscritos en el Registro General de protección de Datos de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS desde septiembre 2015 los siguientes ficheros,
 

De conformidad con los artículos 96 y 110 del RLOPD, a partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Del análisis de riego efectuado se considera que los datos de carácter personal manejados por SPEAK SMILE IDIOMAS son de nivel bajo.

8. EL DELEGADO DE PROTECCIÓN DE DATOS DE SPEAK SMILE IDIOMAS

Esta figura, de nueva creación por el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, será designada atendiendo a sus cualidades profesionales y en particular, a sus conocimientos específicos y a su capacidad para desempeñar las funciones indicadas en esta materia.

En SPEAK SMILE IDIOMAS esta figura, comunicada y registrada en la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, recae en,
        Itziar Abreu De Con 
          Directora de Operaciones y Desarrollo 
          info@speaksmile.com