Medidas y Procedimientos para la ley de Protección de Datos

1. Objetivo del documento

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación  de estos datos (en adelante RGPD), y por el que se deroga de la Directiva 95/46/CE, tiene por objeto armonizar los tratamientos de datos personales de todos los ciudadanos de los Estados miembros mediante la aplicación de una norma única, que garantice un nivel coherente de protección de las personas en toda la UE, así como evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior.

El RGPD proporciona seguridad jurídica y transparencia a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones protegidos jurídicamente y el mismo nivel de responsabilidades para los Responsables y Encargados de Tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales. Asimismo, proporciona sanciones equivalentes para todos los Estados miembros, así como también la cooperación efectiva de las Autoridades de Control.

El 25 de mayo de 2016 entró en vigor el RGPD, aunque no será de plena aplicación hasta el 25 de mayo de 2018. La publicación del RGPD conlleva la derogación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, a los dos años de la fecha de su entrada en vigor. En este sentido, tal y como se establece en el apartado “Introducción” del presente Sistema de Gestión de la Privacidad, los responsables de tratamiento ubicados en territorio español o aquellos que procedan a realizar tratamientos de datos en territorio español, deberán estar atentos a lo previsto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal, así como a otras regulaciones de ámbito nacional que puedan convivir durante el periodo de 2 años que establece el RGPD.

El objeto del presente documento es recopilar la normativa de BODEGAS BORDOY SL referente a las medidas de seguridad de aplicación a las operaciones de tratamiento realizadas por ésta. Las normas que se establecen en el mismo, serán consideradas de obligado cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable y, al mismo tiempo, flexible, en lugar de una descripción estática, por la que se vería sometido a continuas actualizaciones. En esta línea, el documento incluye referencias a otros documentos que conforman la política de seguridad establecida en la organización y, en ocasiones, en lugar de incluir relaciones estáticas se describe el procedimiento para obtener las citadas relaciones en el momento en que sean necesarias.

El presente documento se mantendrá en todo momento actualizado por el Delgado de Protección de Datos y en su defecto, por el Responsable de Privacidad. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de BODEGAS BORDOY SL.

Del mismo modo, las Medidas y Procedimientos, se adecuarán en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.

2. Ámbito de aplicación de las medidas y procedimientos

Las distintas Medidas y Procedimientos especificados en este documento, tienen como finalidad proteger el tratamiento de datos personales de toda persona física en el transcurso de su actividad profesional o comercial, para cuando esos datos sean tratados de forma automatizada o manual por parte de un tercero, ya sea en calidad de Responsable o de Encargado de Tratamiento, en el desarrollo de su actividad profesional o laboral dentro del territorio de la Unión Europea.

A su vez, también pretende dotar de seguridad todas aquellas actuaciones relacionadas con el tratamiento de datos personales que lleve a cabo BODEGAS BORDOY SL en el desarrollo de sus actuaciones, para que esta pueda desempeñar sus funciones con normalidad y estando acorde con las normativas vigentes en materia de protección de datos.

Para ello, las Medidas y Procedimientos que se detallan, buscan proteger la privacidad y confidencialidad de todas aquellas categorías de datos susceptibles de tratamiento. Estos datos de carácter personal pueden encontrarse contenidos en ficheros, aplicaciones, herramientas de actualización y consulta, recursos del sistema informático, redes de telecomunicaciones, soportes y equipos informáticos que sean o puedan ser susceptibles de ser gestionados por BODEGAS BORDOY SL o sus Encargados de Tratamiento.

BODEGAS BORDOY SL ha establecido una relación de recursos protegidos, a los cuales les serán de aplicación todas las Medidas y Procedimientos previstos en este documento.

3. Recursos protegidos

Los recursos protegidos comprendidos dentro del ámbito de aplicación de este documento, lo conforman todos los activos que intervengan o puedan intervenir en las operaciones y procesos de tratamiento de los datos de carácter personal, que suceden en los sistemas de tratamiento responsabilidad del responsable de tratamiento, o en los del encargado del tratamiento, siempre bajo el mandato del contrato de encargo del tratamiento, y especificados en artículo 4 del RGPD.

Según la categoría y/o el tipo de tratamiento específico de los datos de carácter general, estos se clasificarán en las siguientes categorías, a saber:

Categorías especiales de datos personales: son los datos personales que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como los datos genéticos, los datos biométricos que permiten la identificación unívoca de una persona y los datos relativos a la salud o la vida y orientación sexual de la persona.

Categorías de datos relativos a condenas y delitos penales: lo forman todos aquellos datos personales relativos a condenas y a delitos penales, relativos a la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Datos de carácter personal meramente identificativos: Todos aquellos datos de carácter personal según la definición prevista por el artículo 4 del RGPD y que sean considerados como los definidos en las 2 categorías anteriores.

Categorías de datos que no requieren identificación: conjunto de datos para los cuales un responsable somete a tratamiento datos personales que no requieren la identificación de un interesado por parte del Responsable de Tratamiento.

A su vez, también se hace referencia a un tratamiento específico de datos según el desarrollo legislativo concreto por parte de cada Estado miembro de la UE. Estas categorías de datos que pueden merecer un desarrollo legislativo específico por parte de cada uno de los Estados miembros, son los siguientes:

  • Datos personales y reutilización de la información del sector público
  • Datos personales y libertad de expresión y de información: se refiere a datos personales con fines periodísticos o con fines de expresión académica, artística o literaria
  • Datos relativos a códigos de identificación fiscal de personas físicas
  • Datos personales para fines relacionados con la salud
  • Datos en el ámbito laboral: entendiéndose como tales los datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individuales o colectivos, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral

Por último, existen una serie de excepciones aplicables al tratamiento de datos personales con fines de archivo en interés público o con fines de investigación científica e histórica o estadísticos.

A continuación, se describen Activos de BODEGAS BORDOY SL que intervienen en las operaciones de tratamiento de datos de carácter personal y que componen los sistemas de información de BODEGAS BORDOY SL y que son objeto de regulación en las presentes Medidas y Procedimientos.

INVENTARIO DE TECNOLOGÍAS DE INFORMACIÓN

Tipo activo

Nombre activo Responsable activo

Ubicación activo

DOCUMENTACIÓN EN PAPEL

FACTURAS, PRESUPUESTOS

SOFTWARE

PACK OFFICE

En el Anexo E “Registro de actividades de tratamiento” se recopilan todos los datos personales susceptibles de protección al amparo de la normativa vigente en protección de datos, recogiendo de este modo, las operaciones de tratamiento y recopilando las medidas previstas por BODEGAS BORDOY SL a fin de llevarlas a cabo de forma adecuada.

4. Identificación del responsable de tratamiento

Razón social

CIF

Dirección fiscal

 BODEGAS BORDOY SL B57135907

CL INDUSTRIA,10 07013, PALMA DE MALLORCA (ILLES BALEARS)

Actividad desarrollada por el Responsable de Tratamiento: Elaboración y crianza de vinos. Relación de filiales dependientes del Responsable de Tratamiento:

BODEGAS BORDOY SL, no dispone de filiales u otras empresas dentro de su estructura corporativa.

5. Estructura y roles en el ámbito de la privacidad

De acuerdo con todo aquello previsto en la normativa vigente de protección de datos, BODEGAS BORDOY SL, a fin de organizar y gestionar adecuadamente sus políticas de protección de datos, ha estructurado su organización en base a distintos roles, a los cuales se les atribuyen distintas funciones en materia de privacidad. El esquema jerárquico que se desprende de esta organización es el que sigue a continuación:

5.1. Funciones y obligaciones del personal

A fin de establecer las funciones atribuidas a cada rol de privacidad, BODEGAS BORDOY SL las ha definido tal y como se describe a continuación:

  • Delegado de Protección de Datos: se encargará de coordinar las medidas de seguridad definidas en el presente manual de Medidas y Procedimientos. Esta delegación, sin embargo, no exime de la responsabilidad jurídica en lo que refiere a seguridad de los datos, que sigue recayendo sobre el Responsable de Tratamiento.

Funciones específicas atribuidas:

    • Asesorar e informar a BODEGAS BORDOY SL de las obligaciones que le incumben en materia de privacidad
    • Supervisar el cumplimiento normativo de BODEGAS BORDOY SL en el tratamiento de datos personales
    • Supervisar la implementación y aplicación de las políticas de BODEGAS BORDOY SL en materia de protección de datos personales
    • Supervisar el análisis de las operaciones de tratamiento de datos personales.
    • Supervisar el análisis de las categorías de datos que trata la Organización
    • Supervisar el análisis de los riesgos que puedan derivarse de las operaciones de tratamiento llevadas a cabo por BODEGAS BORDOY SL
    • Facilitar el asesoramiento al Responsable de Privacidad en materia de protección de datos
    • Impartir el plan formativo al personal de BODEGAS BORDOY SL que realice tratamiento de datos
    • Intermediar entre BODEGAS BORDOY SL y la Autoridad de Control
    • Realizar las notificaciones requeridas por la Autoridad de Control
    • Supervisar la realización de la Evaluación de Impacto de protección de datos personales
    • Supervisar la realización de las auditorías correspondientes
  • Responsable de Privacidad o de Seguridad: será la persona designada por el Delegado de Protección de Datos o en su defecto, por la dirección de BODEGAS BORDOY SL para coordinar todos los aspectos relacionados y definidos en las presentes Medidas y Procedimientos.

Funciones específicas atribuidas:

    • Actualizar el manual de Medidas y Procedimientos y adecuación del mismo a la normativa vigente
    • Implantar el plan de formación en materia de protección de datos para los empleados
    • Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias que pudieran incurrir en caso de incumplimiento
    • Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la entidad
    • Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos
    • Mantener una relación del personal con acceso autorizado al lugar donde se almacenan las copias de seguridad
    • Mantener una relación del personal autorizado para acceder a los locales donde se encuentren ubicados los sistemas de información
    • Establecer protocolos de comunicación con el Delegado de Protección de Datos por parte de los empleados
    • Adoptar protocolos para el cumplimiento de las medidas de seguridad
    • Realizar protocolos para el diseño de flujos de tratamiento de datos
    • Informar de las consecuencias del incumplimiento del manual de Medidas y Procedimientos
  • Responsable de sistemas: se encargará de administrar o mantener el entorno operativo de las categorías de datos. Se relacionará explícitamente a este personal, ya que por sus tareas desarrolladas pueden utilizar herramientas de administración que permitan el acceso a datos no requeridos para sus tareas, en el caso de no haberse creado este rol dentro de la entidad, sus obligaciones recaerán sobre el Delegado de Protección de Estos se relacionan en el Anexo D “Identificación y autenticación”.

Funciones específicas atribuidas:

    • Será el responsable de administrar y mantener el entorno operativo de las categorías de datos
    • Supervisar la correcta instalación del software de acceso a las categorías de datos
    • Supervisar la configuración del sistema informático de la organización, con especial atención a las conexiones de red local, así como cualquier otra conexión externa
    • Establecer mecanismos que impidan el acceso al sistema desde cualquier punto, ya sea local o remoto, no autorizado. Velando por la implantación de tantas medidas de seguridad como las aprobadas en el presente manual de Medidas y Procedimientos
    • Mantener una relación del personal autorizado con acceso al sistema, anotando aquellos requisitos mínimos establecidos en el manual de Medidas y Procedimientos.
    • Implantar todas aquellas medidas necesarias, previstas en el manual de Medidas y Procedimientos, en lo que refiere a pruebas con datos reales
    • Comunicar al Responsable de Tratamiento, o en su caso al personal al cual se haya delegado, todos aquellos cambios que puedan resultar significativos del entorno del sistema informático.
  • Responsables administrativos de los sistemas de tratamiento: se encargarán de administrar y coordinar el cumplimiento de medidas técnicas y organizativas, así como de cualquier obligación legal que se desprenda del tratamiento de los mismos. En el caso de no haberse creado el presente lugar de trabajo, sus obligaciones recaerán sobre el Responsable de Privacidad. Estos se relacionan en el Anexo D “Identificación y autenticación”.
  • Usuarios del sistema: serán aquellos que usualmente utilizan el sistema de información, tanto a nivel de categorías de datos automatizadas como de no automatizadas, estos están referidos en el Anexo D “Identificación y autenticación”.
  • Empleados sin acceso a tratamientos automatizados: personal que desarrolla tareas en la BODEGAS BORDOY SL, pero que por sus funciones no requiere de acceso al sistema informático.

BODEGAS BORDOY SL designará a un Delegado de Protección de Datos, atendiendo a sus cualidades profesionales y conocimientos especializados de la legislación y prácticas en materia de protección de datos. En ausencia de este cargo, sus funciones serán asumidas por el Responsable de Privacidad o Seguridad o en su defecto por el representante legal de BODEGAS BORDOY SL.

En todo caso, la dirección de BODEGAS BORDOY SL velará y respaldará que el Delegado de Protección de Datos participe adecuada y debidamente en todas las cuestiones relativas a la protección de datos personales, facilitando tanto los recursos necesarios para el desempeño de dichos cometidos, como el acceso a los datos personales y a las operaciones de tratamiento, así como para mantener sus conocimientos especializados.

Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para tratar todas las cuestiones relativas al tratamiento de datos que les corresponda y al ejercicio de los derechos que les confiere la normativa vigente en protección de datos.

En el Anexo A “Nombramiento de los roles de privacidad” se encuentran las copias del nombramiento del Delegado de Protección de Datos.

Ciertas de las funciones que se atribuyen al Delegado de Protección de Datos, podrán ser delegadas a otros empleados designados al efecto, siempre y cuando se haga constar en el manual de Medidas y Procedimientos  a las personas habilitadas para otorgar estas delegaciones, así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable de Tratamiento.

Adicionalmente, para aquellos empleados que desarrollen roles distintos a los del Delegado de Protección de Datos y el Responsable de Privacidad, BODEGAS BORDOY SL ha emitido un comunicado interno dónde se establecen las directrices para el tratamiento por parte del personal de los datos que puedan tratar como consecuencia del desarrollo de sus tareas dentro de la empresa.

En este comunicado se recogen las principales obligaciones en materia de seguridad sobre datos de carácter personal, incluyendo la prohibición expresa de instalar cualquier tipo de aplicación en los equipos informáticos y la utilización de los recursos informáticos y no informáticos para otras finalidades diferentes de las estrictamente derivadas del desarrollo de su actividad laboral, así como la obligación de mantener el deber de confidencialidad sobre todos los datos tratados con motivo del desarrollo de su puesto de trabajo y de no comunicar estos datos a ninguna persona o entidad sin la autorización pertinente.

6. Protocolos para el cumplimiento de las medidas de seguridad

6.1. Registro de las categorías de actividades de tratamiento

De conformidad con la normativa vigente en materia de protección de datos, BODEGAS BORDOY SL y, en su caso su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

  • El nombre y los datos de contacto de BODEGAS BORDOY SL y, en su caso, del corresponsable, del representante de BODEGAS BORDOY SL, y de su Delegado de Protección de Datos
  • Los fines del tratamiento
  • Una descripción de las categorías de interesados y de las categorías de datos personales
  • Las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
  • En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional
  • Cuando sea posible:
    • Los plazos previstos para la supresión de las diferentes categorías de datos
    • Una descripción general de las medidas técnicas y organizativas de seguridad

Con el objeto de cumplir con esta obligación, BODEGAS BORDOY SL ha diseñado e implantado, un registro de las actividades de tratamiento de los datos personales de las que es responsable, el mismo se mantiene actualizado por medio de las actualizaciones previstas en el Anexo E “Registro de actividades de tratamiento” de las presentes Medidas y Procedimientos.

Las actividades de tratamiento de datos, que se relacionan a continuación son responsabilidad de BODEGAS BORDOY SL, con domicilio en CL INDUSTRIA,10 07013, PALMA DE MALLORCA (ILLES BALEARS), el

responsable legal del cual es GUILLERMO ROSSELLO AMENGUAL con DNI 43084646B y teléfono de contacto 971780100.

En el Anexo E “Registro de actividades de tratamiento”, BODEGAS BORDOY SL ha documentado y mantiene actualizado el registro de las categorías de actividades de tratamiento de las que es responsable, aportando la siguiente información:

Los fines del tratamiento

  • Descripción de las categorías de los interesados así como de las categorías de datos personales a tratar
  • Las categorías de destinatarios de los datos Las transferencias de datos a un tercer país
  • Los plazos previstos para la supresión de las categorías de datos
  • Una descripción de las medidas técnicas y organizativas de seguridad aplicadas a las categorías de datos

6.1. Normativa de seguridad

BODEGAS BORDOY SL ha realizado una Evaluación de Impacto y su respectivo mapa de riesgos de sus procedimientos de tratamiento de datos personales. Considerando los resultados de los mismos ha aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo plasmado en la Evaluación de Impacto. Estas medidas de seguridad consideran, en especial los siguientes aspectos:

  • Se han tenido particularmente en cuenta los riesgos que presentan los tratamientos de datos, de acuerdo con los tratamientos previstos en el Anexo E “Registro de actividades de tratamiento“, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  • BODEGAS BORDOY SL ha tomado todas aquella medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo las instrucciones previstas en este documento.

Para garantizar el nivel de protección adecuado y exigido por la normativa vigente en protección de datos, en BODEGAS BORDOY SL serán de aplicación las siguientes normas, procedimientos y estándares relacionados con la seguridad de los datos de los sistemas de BODEGAS BORDOY SL.

6.2.1  Acceso a datos a través de redes de comunicación

Cuando en BODEGAS BORDOY SL existan Encargados de Tratamiento que tengan permitido el acceso remoto a sus sistemas de información, estas conexiones deberán permitir la aplicación de las mismas medidas de seguridad, equivalentes a una conexión en área local, medidas descritas en las presentes Medidas y Procedimientos.

En el Anexo B “Acceso a Datos a Través de redes de Comunicación” se relacionan todos los Encargados de Tratamiento que disponen de un acceso remoto autorizado a los sistemas de información de BODEGAS BORDOY SL.

6.2.2  Categorías especiales de datos

BODEGAS BORDOY SL no trata categorías especiales de datos a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, con lo cual, no será necesario el cifrado de los datos en este sentido. Asimismo, en el momento en que BODEGAS BORDOY SL trate datos personales de carácter especial, cifrará estos datos o bien utilizará cualquier otro mecanismo que garantice que la información no podrá ser inteligible ni manipulada por terceros.

6.2.3  Régimen de trabajo fuera de los locales de ubicación de los sistemas de tratamiento

En BODEGAS BORDOY SL no existen dispositivos portátiles. En el caso de que se proceda a incorporar dispositivos portátiles en BODEGAS BORDOY SL y que se proceda al tratamiento de datos en sus unidades lógicas, estos tratamientos deberán ser autorizados previamente por el Delegado de Protección de Datos, y  estos serán relacionados y autorizados en el Anexo H «Régimen de Trabajo Fuera de los Locales de Ubicación de los sistemas de tratamiento” y siguiendo la política mencionada a continuación.

Los empleados de BODEGAS BORDOY SL que dispongan de un dispositivo portátil asignado, serán informados de la prohibición, excepto excepciones autorizadas, de almacenar datos de carácter personal en las unidades lógicas de los dispositivos portátiles y de la obligación de trabajar con datos de carácter personal únicamente sobre las unidades lógicas definidas en el servidor local. Además, les serán de aplicación las medidas de seguridad implementadas en BODEGAS BORDOY SL, las cuales quedan definidas en la presente normativa de seguridad.

Será obligatorio que en los dispositivos portátiles, se habiliten los mismos criterios establecidos sobre identificación, autentificación y control de accesos, definidos en la normativa de seguridad, siempre que se conecten a la red local o accedan de manera remota.

En ningún caso será permitida, sin su previa autorización, la grabación de categorías especiales de datos o de nivel alto en las unidades lógicas de los dispositivos portátiles.

6.2.4  Identificación y autenticación

El procedimiento seguido en BODEGAS BORDOY SL para la identificación y autenticación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones está basado en la combinación de un código de identificación de usuario y una contraseña que el propio sistema informático cotejará en cada intento de acceso a fin de comprobar que dicho acceso sea autorizado o no.

A cada usuario le ha sido asignada una identificación única e intransferible tanto para el acceso al sistema como para el acceso a las aplicaciones.

En BODEGAS BORDOY SL existe una política de asignación, distribución y almacenamiento de usuarios y contraseñas que garantiza su confidencialidad e integridad, estableciéndose en esta política también la periodicidad en la que será requerido el cambio de las contraseñas. Esta política se encuentra en el Anexo D “Identificación y Autenticación”.

6.2.5  Control de acceso

Los usuarios de BODEGAS BORDOY SL recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones.

El Responsable de Privacidad o aquellos empleados que les haya sido atribuida esta labor, determinarán las aplicaciones que serán accesibles para cada usuario.

En el Anexo D «Identificación y Autenticación» se indica el procedimiento a seguir para obtener la relación de usuarios con acceso autorizado a la red y a las aplicaciones, así como los derechos que tienen concedidos.

En el Anexo D «Identificación y Autenticación», se incluye la relación de usuarios con acceso autorizado a cada sistema de información. Además, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista se actualizará por el Responsable de Privacidad o Seguridad, o por el personal al cual le haya sido delgada esta labor, cada vez que un usuario reciba nuevos privilegios o cada vez que se dé de alta un nuevo usuario con acceso a datos de carácter personal.

Cuando para la prestación de un servicio a BODEGAS BORDOY SL por parte de personal de terceras empresas, este personal tenga acceso a los recursos de BODEGAS BORDOY SL, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de BODEGAS BORDOY SL.

6.2.6  Gestión de soportes

En BODEGAS BORDOY SL los soportes que contengan datos de carácter personal serán etiquetados permitiendo su identificación. Del mismo modo serán inventariados y almacenados en las instalaciones dónde se ubican los sistemas de información (servidores y equipos de comunicación). Este lugar se considerará de acceso restringido y sólo podrá ser accedido por el personal autorizado por el Responsable de Tratamiento.

Asimismo, en BODEGAS BORDOY SL existen diferentes perfiles de empleados. Todos los empleados que requieren del acceso a soportes informáticos que contienen datos de carácter personal, les es autorizada en el momento de la firma del contrato laboral con la compañía. Incluso para el envío y recepción de correos electrónicos con documentos anexos.

De esta forma, se entenderá por autorizado el acceso a soportes a partir del momento que el empleado suscribe el contrato laboral con BODEGAS BORDOY SL.

Esta autorización se entenderá como vigente, siempre que el contrato laboral siga en vigor. En el momento que cese la relación laboral con el empleado se entenderá como extinguida la autorización.

6.2.7  Procedimientos de copias de seguridad y recuperación

BODEGAS BORDOY SL ha establecido un procedimiento para la realización de copias de respaldo con periodicidad mínima semanal, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

El mencionado procedimiento para la recuperación de los datos debe garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción, afectase a categorías de datos o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se procederá a grabar manualmente los datos.

El procedimiento establece una verificación como mínimo semestral para asegurar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

En el Anexo I “Procedimientos de Copias de Seguridad y Recuperación” se detalla la arquitectura del procedimiento de copias de seguridad.

6.2.8  Inventario de aplicaciones informáticas

BODEGAS BORDOY SL ha elaborado un inventario de aplicaciones informáticas con el fin de poder gestionar e indicar la ubicación de las categorías de datos existentes dentro de los sistemas informáticos.

En el Anexo J “Inventario de aplicaciones informáticas” se encuentra la relación de aplicaciones informáticas utilizadas por BODEGAS BORDOY SL. Este inventario se actualizará por el Responsable de Privacidad o seguridad, o por el personal al cual le haya sido delgada esta labor en la medida en que se remplacen, suprimen o agreguen aplicaciones informáticas dentro de los sistemas informáticos de gestión de las categorías de datos.

6.2.9  Procedimientos de tratamientos no automatizados

Se entiende como tratamiento no automatizado todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales ya sea aquél centralizado, descentralizado, repartido de forma funcional o geográfica. De modo genérico se considerará tratamiento no automatizado a todo documento en el que se encuentren datos de carácter personal en formato no informático (facturas, presupuestos,  albaranes, contratos, currículums vitae, etc).

Serán de aplicación para las categorías de datos no automatizadas, las medidas de seguridad descritas anteriormente para las categorías de datos automatizadas. Adicionalmente en el Anexo M “Operaciones de tratamiento no automatizadas” se describen las medidas de seguridad aplicables únicamente a las operaciones de tratamiento realizadas exclusivamente en soporte papel.

6.2.10   Contratos de prestación de servicios

BODEGAS BORDOY SL ha procedido a la contratación de distintos proveedores de servicios que realizan tratamientos de datos bajo su responsabilidad, BODEGAS BORDOY SL ha documentado en el Anexo G “Relación de Encargados de Tratamiento” la relación actualizada de todos aquellos prestadores de servicios, que por los servicios que vienen prestando, disponen de un acceso a datos de carácter personal bajo la responsabilidad de BODEGAS BORDOY SL.

De estos deberá constar la siguiente información:

  • Encargado de Tratamiento
  • Razón social
  • CIF
  • Fines del tratamiento
  • Categorías de interesados y categorías de datos personales
  • Medidas técnicas y organizativas de seguridad

7. Protocolos de comunicación con el DPO

De acuerdo con los Roles de Privacidad establecidos en el punto 5 de las presentes Medidas y Procedimientos, y con el objeto de establecer un canal fluido de comunicación con el DPO, se ha marcado un procedimiento para ello. En este sentido cualquier persona de la empresa podrá dirigirse al Delegado de Protección de Datos para sugerir, comunicar o consultar cualquier cuestión que haga referencia a las Medidas y Procedimientos de seguridad establecidas y que afecten a los datos personales que se quieran proteger en BODEGAS BORDOY SL.

Dicha comunicación con el DPO será potestativa en el caso de que se tengan sospechas o indicios de que se ha producido una violación o brecha de la seguridad de los datos personales que pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados y que podría ser susceptible de producir alguna de las situaciones siguientes:

  • Problemas de discriminación
  • Usurpación de identidad o fraude
  • Pérdidas económicas
  • Cambio no autorizado de la seudonimización
  • Menoscabo de la reputación
  • Pérdida de confidencialidad de datos sujetos al secreto profesional
  • Cualquier otro perjuicio económico o social significativo

En el caso de producirse una de estas situaciones, se estará además a lo contemplado en el Apartado “Registro y gestión de incidencias, violaciones o brechas de seguridad”.

En el Anexo C “Procedimiento de comunicación con el DPO”, se establece el procedimiento para la comunicación con el Delegado de Protección de Datos.

8. Plan de formación para la aplicación del RGPD

La formación continuada del personal de la entidad en materia de protección de datos personales, es un elemento clave para la correcta implantación del RGPD.

Atendiendo a que en la actualidad los datos representan uno de los mayores activos que puede poseer una empresa, es necesario que el personal disponga de los conocimientos necesarios en la materia de protección de datos, así como concienciarle acerca de sus funciones y obligaciones dentro de la empresa.

En el presente documento se transcriben aquellos aspectos que serán necesarios para dar a conocer a empleado del cumplimiento de la normativa vigente por parte del DPO, el cual deberá tener en cuenta que la formación deberá personalizarse al tipo de tratamiento de datos que se realiza por parte del Responsable de Tratamiento.

En este sentido y a fin de proceder con una adecuada transición, durante los dos años de convivencia del RGPD y la LOPD, en el Anexo K “Plan de formación”, se establecen los ejes principales y el contenido del plan de formación que ha aprobado BODEGAS BORDOY SL, y que será impartido a todo aquel personal que proceda al tratamiento de datos bajo la responsabilidad de BODEGAS BORDOY SL.

9. Protocolo para el diseño de los flujos de tratamiento de datos

Cualesquiera de los nuevos tratamientos, previstos o no previstos en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, requerirá que BODEGAS BORDOY SL proceda a la realización de una Evaluación de Impacto previa a esta nueva operación de tratamiento.

Para un correcto desarrollo de la Evaluación de Impacto, BODEGAS BORDOY SL procederá a documentar el procedimiento de tratamiento de datos.

En el Anexo L “Procedimiento de generación de procesos de tratamiento de datos” se establece el modelo que seguirá BODEGAS BORDOY SL a fin de ejecutar nuevos procedimientos de tratamiento de datos de carácter personal.

En todo caso estos procedimientos serán supervisados y aprobados por el Delegado de Protección de Datos, o en su defecto por el Responsable de Privacidad o Seguridad.

10. Procedimiento de gestión de incidencias y violaciones o brechas de seguridad de datos

Se considerarán incidencias y violación de la seguridad de datos, toda situación que comprometa la seguridad de los datos de carácter personal objeto de tratamiento, que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En este sentido, BODEGAS BORDOY SL registrará las incidencias que puedan afectar a la seguridad de los sistemas de información y que afecten a los datos personales objeto de tratamiento. Sin embargo, BODEGAS BORDOY SL revisará cualquier normativa de desarrollo que pudiera afectar a la normativa vigente a fin de proceder a comunicar estas situaciones a la Autoridad de Control pertinente, sin demora injustificada y, a ser posible, a más tardar 72 horas después de tener constancia de ello; de no realizarse en dicho plazo deberá ir acompañado de una justificación motivada.

Esta comunicación deberá contener como mínimo los siguientes extremos:

  • Descripción de la naturaleza de la violación de seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos de que se trate
  • Nombre y datos de contacto del Delegado de Protección de Datos y en su defecto del Responsable de Privacidad
  • Descripción de las posibles consecuencias de la violación de seguridad de los datos personales
  • Descripción de las medidas adoptadas o propuestas por BODEGAS BORDOY SL, a fin de subsanar esta caída de seguridad de los sistemas de información, incluyendo, si procede, las adoptadas para mitigar los posibles efectos negativos
  • Si no fuera posible, o en la medida en que no sea posible facilitar la información simultáneamente, se deberá facilitar la información por etapas sin demora indebida

En todo caso BODEGAS BORDOY SL procederá a documentar cualquier incidencia, brecha o violación de seguridad de los datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación estará a disposición de la Agencia Española de Protección de Datos. Esta labor recaerá sobre el Delegado de Protección de Datos y, en su defecto, se responsabilizará el responsable de Privacidad o Seguridad.

En el Anexo C “Procedimiento de comunicación con el DPO”, se encuentra el modelo de registro de incidencias y violaciones de seguridad de los datos.

El procedimiento establecido por BODEGAS BORDOY SL preverá aquellas situaciones en las cuales sea probable que la violación de seguridad de los datos personales vaya a dar lugar a un alto riesgo para los derechos y libertades de los interesados. BODEGAS BORDOY SL comunicará al interesado, sin demora injustificada, la violación de seguridad de los datos personales.

Esta describirá en un lenguaje claro y sencillo la naturaleza de la violación de seguridad de los datos personales y contendrá, al menos, la información y las recomendaciones comentadas anteriormente.

Asimismo BODEGAS BORDOY SL no procederá a esta comunicación al interesado cuando confluyan las siguientes situaciones:

  • Que BODEGAS BORDOY SL haya instaurado medidas de protección técnica y organizativa apropiadas y estas medidas se hayan aplicado a los datos personales afectados por la violación de seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
  • Que BODEGAS BORDOY SL haya tomado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo que ha generado la violación de seguridad de los datos

Cuando esta comunicación suponga una labor desproporcionada para BODEGAS BORDOY SL, optará por una comunicación pública o una medida semejante mediante la cual se informe a los interesados de manera igualmente efectiva.

11. Procedimiento de gestión de los derechos de los interesados

En la normativa vigente de protección de datos se regula tanto los derechos que puede ejercer el interesado como los mecanismos de ejercicio de tales derechos ante el Responsable de Tratamiento de los datos.

Los derechos que puede ejercer el interesado de los datos son los siguientes:

  • Derecho de acceso: es el derecho del interesado a obtener del Responsable de Tratamiento confirmación de si se están tratando o no datos personales que le conciernen, y en caso de que se confirme el tratamiento se le deberá de facilitar el acceso a los datos y a la información de que dispone
  • Derecho de rectificación: el interesado tendrá derecho a obtener del Responsable de Tratamiento sin demora injustificada la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. Habida cuenta de los fines para los cuales se hayan tratado los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración adicional
  • Derecho a la limitación del tratamiento: es el derecho a obtener del Responsable de Tratamiento la limitación del tratamiento de datos personales
  • Derecho a la supresión (“derecho al olvido”): hace referencia al derecho del interesado a obtener del Responsable de Tratamiento la supresión de los datos personales que le conciernan sin demora injustificada, y el Responsable de Tratamiento tendrá la obligación de suprimir los datos personales sin demora injustificada cuando se cumplan con los requisitos exigidos en el artículo 17 del Reglamento
  • Derecho a la portabilidad de los datos: consiste en el derecho a recibir los datos personales que le incumban, que haya facilitado a un Responsable de Tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro Responsable de Tratamiento sin que lo impida el Responsable de Tratamiento al que se hubieran facilitado los datos
  • Derecho de oposición: el interesado podrá oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento para el cumplimiento de un interés público o para la satisfacción de un interés legítimo, inclusive la elaboración de perfiles sobre la base de dichas disposiciones

Plazos de respuesta:

En este sentido, durante el periodo de transición de 2 años para la plena aplicación del RGPD, y tanto en cuanto no existan regulaciones nacionales al respecto, se entenderán como vigentes los derechos de acceso, rectificación, oposición y cancelación o supresión. Asimismo, se establecen los plazos de que dispone el Responsable de Tratamiento para resolver el ejercicio de los derechos anteriores por parte del interesado. Los plazos son los siguientes:

  • El Responsable de Tratamiento facilitará al interesado el ejercicio de sus derechos y la información sobre las actuaciones solicitadas y realizadas sin demora y, a más tardar, en el plazo de un mes para el derecho de acceso y diez días para los derechos de rectificación, oposición y cancelación o supresión, a partir de la recepción de la solicitud.

El interesado podrá ejercer sus derechos en materia de protección de datos de manera gratuita.

En estos casos será BODEGAS BORDOY SL quien asumirá la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

En todo caso, toda solicitud deberá ir acompañada de:

  • Nombre, apellidos del interesado y copia del DNI. En los excepcionales casos en que se admita la representación, será también necesaria la identificación por el mismo medio de la persona que le representa, así como el documento acreditativo de la representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho
  • Petición en que se concreta la solicitud. (Ejercicio que se solicita o información a la que se quiere acceder). Si no hace referencia a un fichero concreto se le facilitará toda la información que se tenga de la empresa a su nombre. Si solicita información de un fichero en concreto, sólo la información de este fichero. Si solicita información relativa a un tercero nunca se podrá facilitar. Si lo solicita por teléfono se le indicará que lo haga por escrito y se le informará de cómo lo puede hacer y la dirección a la que tiene que enviarlo. Nunca se le dará información por teléfono
  • Domicilio a efecto de notificaciones
  • Fecha y firma del solicitante
  • Documentos acreditativos de la petición que formula