INFORMACIÓN BÁSICA DE PROTECCIÓN DE DATOS: En cumplimiento del deber de informar a los interesados de las circunstancias y condiciones del tratamiento de sus datos y de los derechos que le asisten, ponemos a su disposición la siguiente información.
RESPONSABLE DE TRATAMIENTO: Vives De La Cortada, S.C.P.
FINALIDAD DEL TRATAMIENTO DE SUS DATOS: Informarle de los productos y/o servicios de Vives De La Cortada, S.C.P. .
CONSERVACIÓN DE LOS DATOS: Los datos se conservan el tiempo estrictamente necesario para la relación y lo que le es exigible legalmente, siendo destruidos posteriormente mediante los procesos seguros de la organización.
LEGITIMACIÓN PARA EL TRATAMIENTO: Consentimiento explícito al aceptar las condiciones de uso del formulario de alta en nuestra newsletter.
DESTINATARIOS DE SUS DATOS PERSONALES: No se prevén cesiones de datos salvo en aquellos casos en que exista una obligación legal. No hay previsión de transferencias de datos internacionales.
SUS DERECHOS: Puede revocar el consentimiento y ejercer sus Derechos a acceder, rectificar, oponerse, limitar, portar y suprimir los datos, escribiendo a Vives De La Cortada, S.C.P. , en C/ Ciutat 7 Bajo Izquierda, 08002, Barcelona además de acudir a la autoridad de control competente (AEPD).
Acepto las condiciones de uso de la inscripción en la newsletter de Vives De La Cortada, S.C.P. .
-
INTRODUCCIÓN
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se aprobó a finales del 2018 y supuso el desarrollo del Reglamento General de Protección de Datos en España.
DERECHOS DIGITALES APROBADOS
Esta normativa introdujo en España nuevos derechos digitales para el consumidor y usuarios que se describen a continuación.
-
Derecho a la desconexión digital en el ámbito laboral: Se regula por primera vez en España el derecho de los trabajadores a no tener que estar obligatoriamente pendientes del móvil o del ordenador al término de su jornada laboral. Y a que las empresas promuevan acciones para evitar la fatiga informática de sus empleados.
Se deja a la negociación colectiva o a los acuerdos entre empresas y sindicatos las distintas modalidades de ejercicio de este derecho, en función de la naturaleza y objeto de la relación laboral. Pero, en todo caso, se deberá potenciar el derecho a la conciliación de la vida personal y laboral. Sobre todo, cuando la realización total o parcial del trabajo se realice a distancia o en el domicilio del empleado mediante herramientas tecnológicas.
-
Privacidad de empleados: Se regula también el derecho a la intimidad frente al uso de dispositivos de geolocalización, videovigilancia y grabación de sonidos en el lugar de trabajo. Prohíbe de forma expresa las grabaciones en lugares como vestuarios, aseos o comedores.
El uso de esos sistemas sólo se admitirá por parte de la empresa cuando haya un riesgo relevante para la seguridad de las instalaciones, bienes y personas, y siempre previa información a los trabajadores. Y el empresario únicamente podrá acceder a los contenidos de los medios digitales facilitados a sus empleados para controlar el cumplimiento de las obligaciones laborales y garantizar la integridad de esos dispositivos.
-
Derecho al olvido en Internet y redes sociales: En desarrollo del RGPD, esta nueva ley regula el derecho al olvido. Es decir, el derecho de toda persona a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y de la sociedad de la información equivalente. Este derecho se hace también extensivo al olvido en búsquedas de Internet.
-
Derecho a la educación digital y protección de menores: En esta normativa se establecen los 14 años como edad mínima a partir de la cual los menores pueden otorgar su consentimiento para tratar sus datos personales. En caso de menores de 14 años, el consentimiento deberán otorgarlo sus padres o tutores legales. Además, el uso o la difusión de imágenes o información personal de menores en redes sociales que puedan implicar una intromisión ilegítima en sus derechos fundamentales será causa de intervención del Ministerio Fiscal.
-
Bono social de acceso a Internet: La ley establece el derecho de toda persona a acceder a Internet de forma universal, asequible y no discriminatoria, luchando contra:
-
Brechas de género
-
Generacionales
-
Por razón de discapacidad
-
Por lugar de residencia como el ámbito rural.
Para cumplir con este derecho se establecen distintas medidas.
Plan de acceso a Internet
El Gobierno debe elaborar un Plan de Acceso a Internet que incorpore también un bono social de acceso a Internet para facilitar ese acceso a aquellos entornos familiares y sociales económicamente desfavorecidos.
Derecho a la neutralidad de Internet
Los proveedores deben proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos. Y garantizar la seguridad de las comunicaciones que los usuarios bien reciban o bien transmitan a través de la red.
Derecho al testamento digital
Los familiares o herederos del fallecido pueden trasladar a los servicios de la sociedad de información la voluntad sobre el destino o la supresión de los datos, salvo que la persona fallecida lo hubiera prohibido expresamente.
-
Informe anual: El Gobierno tendrá que presentar cada año un informe ante el Congreso de los Diputados. En él deberá informar sobre:
-
Evolución de los derechos,
-
Garantías y mandatos contemplados en la ley y
-
Aquellas medidas necesarias para promover el impulso de los derechos digitales en España.
-
DOCUMENTOS Y CLÁUSULAS LEGALES (ACTUALIZADO ACORDE A LA NUEVA DENOMINACIÓN DE LA LOPD-GDD)
-
CLÁUSULA INFORMATIVA PARA EMPLEADOS
RECOMENDACIONES DIRIGIDAS AL PERSONAL QUE PARTICIPA EN LAS OPERACIONES DE TRATAMIENTO-TELETRABAJO
Las recomendaciones al personal han de estar recogidas en la política de teletrabajo del responsable, referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.
Una guía sobre el contenido de dichas recomendaciones es la siguiente:
-
Respetar la política de protección de la información en situaciones de movilidad definida por el responsable
• Han de observarse las medidas y recomendaciones recogidas en las guías y política de protección de datos y seguridad de la información en situaciones de movilidad definidas por la organización, así como del resto de las normas y procedimientos que la desarrollen y, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones laborales.
-
Proteger el dispositivo utilizado en movilidad y el acceso al mismo
• La persona empleada debe definir y utilizar contraseñas de acceso robustas y diferentes a las utilizadas para acceder a cuentas de correo personales, redes sociales y otro tipo de aplicaciones utilizadas en el ámbito de su vida personal.
• No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización.
• Es recomendable evitar la conexión de los dispositivos a la red corporativa desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
• Deben mantenerse protegidos los mecanismos de autenticación definidos (certificados, contraseñas, tokens, sistemas de doble factor…) para validarse ante los sistemas de control de acceso remoto de la organización.
• Si se dispone de un equipo corporativo, no se debe utilizar con fines particulares evitando el acceso a redes sociales, correo electrónico personal, páginas web con reclamos y publicidad impactante, así como otros sitios susceptibles de contener virus o favorecer la ejecución de código dañino.
• Si el equipo utilizado para establecer la conexión remota es personal, debe evitarse simultanear la actividad personal con la profesional y definir perfiles independientes para desarrollar cada tipo de tarea.
• El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
• Siempre ha de verificarse la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal.
• Si pueden ser gestionadas por la persona empleada, conviene desactivar las conexiones WIFI, bluetooth y similares que no estén siendo utilizadas.
• Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
-
Garantizar la protección de la información que se está manejando
• Tanto en lugares públicos como en el entorno doméstico es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
• Si habitualmente se genera y trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros.
• La información en soporte papel, incluyendo borradores, no se puede desechar sin garantizar que es adecuadamente destruida. Si es posible, no arrojar papeles enteros o en trozos en papeleras de hoteles, lugares públicos o en la basura doméstica a los que alguien podría acceder y recuperar información de carácter personal.
• Conviene extremar las precauciones para evitar el acceso no autorizado a la información personal, propia y de terceros, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
• Se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla.
• En la medida de lo posible es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros ajenos utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada.
-
Guardar la información en los espacios de red habilitados
• Conviene evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, siendo preferible hacer uso de los recursos de almacenamiento compartido o en la nube proporcionados por la organización.
• Si se permite la utilización de equipos personales, no utilizar bajo ningún concepto aplicaciones no autorizadas en la política de la entidad para compartir información (servicios en nube de alojamiento de archivos, correos personales, mensajería rápida, etc.) • No se debe bloquear o deshabilitar la política de copia de seguridad corporativa definida para cada dispositivo.
• Es recomendable revisar y eliminar periódicamente la información residual que pueda quedar almacenadas en el dispositivo, como archivos temporales del navegador o descargas de documentos.
-
Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad
• Cualquier anomalía que pueda afectar a la seguridad de la información y a los datos personales tratados debe notificarse al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto.
• Ante cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información y el acceso a los recursos corporativos el empleado debe consultar con el Delegado de Protección de Datos y con el responsable de seguridad de la información, o los perfiles responsables designados al efecto, trasladándoles toda información de interés de la que tenga constancia.
B- INSTRUCCIONES SOBRE EL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN DE LA EMPRESA
La empresa, facilita a sus empleados una serie de instrumentos informáticos para que puedan llevar a cabo las funciones para las que fueron contratados. Entre estos medios se incluyen los equipos informáticos, telefónicos, programas informáticos, correo electrónico o cualquier otra herramienta de procesamiento de datos, siendo todas ellas propiedad de la empresa. Por tanto, el presente documento tiene como finalidad garantizar el buen uso de las herramientas informáticas.
Las normas del presente documento se aplicarán a todo el personal de la empresa que tenga acceso a herramientas de gestión de la información y comunicación, sin tener en cuenta la naturaleza de sus actividades.
-
Normas sobre el uso de los equipos informáticos:
Los dispositivos informáticos facilitados por la empresa a los empleados son titularidad de la empresa, y únicamente se ponen a disposición del empleado con el fin de llevar a cabo sus servicios profesionales. Por tanto, estos equipos no deberán ser empleados para uso personal, quedando prohibido el almacenamiento de datos de carácter personal en los equipos.
Igualmente, tanto la identificación de usuario, como la contraseña deben ser secretas. Cada empleado ostentará la obligación de mantenerlas en secreto. Si el usuario sospecha que otra persona conoce las claves de identificación, deberá proceder de manera inmediata al cambio de las mismas.
-
Normas sobre el uso del software:
El software o los programas instalados en la red de la empresa, así como en dispositivos USB por ejemplo, son propiedad de la empresa y deben ser empleados exclusivamente con una finalidad profesional. Igualmente, queda prohibida la utilización, copia o reproducción con fines no profesionales de los programas informáticos, así como su destrucción, daño o alteración.
Asimismo, la instalación de programas informáticos en los equipos de la empresa, sólo podrá realizarle el personal autorizado.
-
Normas sobre el uso de Internet:
En ningún caso debe accederse a direcciones de Internet con contenido ofensivo contra la dignidad humana o los derechos fundamentales. Cuando se considere necesario para la protección de la empresa, la misma se reserva la facultad de revisar la red de Internet desde los ordenadores utilizados por los empleados.
-
Normas sobre el uso del correo electrónico:
El correo electrónico puesto a disposición del empleado, está destinado a la prestación de los servicios profesionales, siendo titularidad de la empresa. Por tanto, debe emplearse con fines exclusivamente profesionales. La empresa queda exenta de cualquier responsabilidad que pueda derivarse como consecuencia del uso inadecuado llevado a cabo por el empleado. En ningún caso podrá emplearse el correo electrónico para proceder al envío de mensajes con contenidos ilegales, ilícitos, ofensivos o que atenten contra la dignidad humana, contra los derechos fundamentales o contra la propia entidad.
En el momento en el que se extinga la relación laboral, se interrumpirá el acceso al correo electrónico.
-
ANÁLISIS DE RIESGOS Y MEDIDAS DE SEGURIDAD
Conforme a lo establecido por el RGPD, los responsables y encargados del tratamiento deberán llevar a cabo un análisis de riesgos, con el fin de que se puedan implantar las medidas de seguridad apropiadas para garantizar los derechos y libertades de las personas. Por tanto, este documento tiene como objeto estudiar los riesgos de las actividades de tratamiento con baja exposición al riesgo.
Identificación de riesgos con probabilidad baja de que se materialicen:
-
Modificación o alteración no intencionada de los datos personales.
-
Pérdida no intencionada de los datos personales.
-
Acceso no autorizado a datos personales.
-
Ausencia de procedimientos para el ejercicio de derechos.
-
Tratamiento ilícito de datos personales.
A continuación, se incluyen algunas medidas técnicas para garantizar la salvaguarda de los datos:
-
ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
-
MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
-
CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará por garantizar la existencia de un firewall activado y correctamente configurado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
-
CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
-
COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.