cabecera del blog digitechcircle.com

POLÍTICA DE PRIVACIDAD

PREMISA

Este Modelo recoge las medidas técnicas y organizativas que GLOBALTECH SOLUTIONS SAGL en su calidad de Responsable del Tratamiento de sus datos personales, implementa para garantizar -y poder demostrar- el cumplimiento del Reglamento UE 2016/679 de las actividades de tratamiento de y datos personales de personas físicas, Ciudadanos Europeos y residentes en la Unión Europea, que la Compañía realice directamente o que terceros realicen en su nombre. El Reglamento de 27 de abril de 2016, denominado " Reglamento General de Protección de Datos" (en adelante " RGPD"), publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, tiene carácter definitivo operativo y de aplicación directa en todos los países miembros de la Unión Europea a partir del 25 de mayo de 2018 y persigue el objetivo de reforzar la protección de los datos personales de las personas físicas, tanto dentro como fuera de las fronteras europeas, por tanto con independencia del principio de territorialidad, armonizando las normas de privacidad de todos los estados miembros. Junto con la Directiva 2016/680 de la UE del mismo día, relativa al tratamiento de datos personales en el único contexto de la represión de delitos, el Reglamento en cuestión constituye el denominado " paquete deprotección de datos personales ".

La adopción de las medidas técnicas y organizativas adecuadas viene impuesta por los artículos 24 y siguientes del RGPD, según los cuales las políticas y medidas internas que deben aplicarse para cumplir los principios de protección de datos desde el diseño y de protección de datos por defecto, deben tener en cuenta en la práctica, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo para los derechos y la libertad de las personas físicas.

Por lo tanto, para cumplir con este requisito, la elaboración de este modelo requirió la ejecución previa de una actividad de auditoría cuidadosa y crítica, que permitió el examen de la realidad individual de la empresa y la evaluación del impacto en la protección de datos personales.

DEFINICIONES

A los efectos del GDPR y en relación con los conceptos específicamente involucrados en las actividades de procesamiento llevadas a cabo, directa e indirectamente por GLOBALTECH SOLUTIONS SAGL de conformidad con el artículo 4 GDPR, se definen los siguientes:

1. 1. "Datos personales" : toda información relativa a una persona física identificada o identificable ("interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de su identidad física; fisiológica, genética, psíquica, económica, cultural o social;

2. Tratamiento" : cualquier operación o conjunto de operaciones, efectuadas con o sin ayuda de procedimientos automatizados y aplicadas a datos personales o conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, comparación o interconexión, limitación, cancelación o destrucción;

3. Restricción del tratamiento" : el marcado de los datos personales almacenados con el fin de restringir su tratamiento en el futuro;

4. 4. "Elaboración de perfiles" : cualquier forma de tratamiento automatizado de datos personales consistente en la utilización de dichos datos personales para evaluar determinados aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento profesional, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los movimientos de dicha persona física;

5. seudonimización" : el tratamiento de datos personales de manera que los datos personales ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se almacene por separado y esté sujeta a medidas técnicas y organizativas que garanticen que dichos datos personales no se atribuyan a una persona física identificada o identificable;

6. Repositorio" : cualquier conjunto estructurado de datos personales accesible según criterios especificados, independientemente de que dicho conjunto esté centralizado, descentralizado o distribuido funcional o geográficamente;

7. "responsable del tratamiento" : la persona física o jurídica, la autoridad pública, la agencia o cualquier otro organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos aplicables a su designación podrán ser establecidos por el Derecho de la Unión o de los Estados miembros;

8. Encargado del tratamiento ": la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

9. "destinatario ": la persona física o jurídica, la autoridad pública, la agencia u otro organismo que recibe la comunicación de datos personales, sean o no terceros. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir la comunicación de datos personales en el contexto de una investigación específica de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de dichos datos por parte de dichas autoridades públicas se ajusta a las normas de protección de datos aplicables en función de los fines del tratamiento;

10. Tercero ": la persona física o jurídica, autoridad pública, agencia u otro organismo distinto del interesado, el responsable del tratamiento, el encargado del tratamiento y las personas autorizadas a tratar los datos personales bajo la autoridad directa del responsable o del encargado del tratamiento;

11. Consentimiento del interesado": toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado manifiesta su consentimiento, mediante una declaración inequívoca o una acción positiva, para que se traten los datos personales que le conciernen;

12. 12. "Violación de los datos personales" : una violación de la seguridad que implique, de forma accidental o ilegal, la destrucción, la pérdida, la modificación, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo;

13. Datos genéticos : los datos personales relativos a las características genéticas hereditarias o adquiridas de una persona física que proporcionan información inequívoca sobre la fisiología o la salud de dicha persona física, y que resultan en particular del análisis de una muestra biológica de la persona física en cuestión;

14. Datos biométricos" : los datos personales obtenidos a partir de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física que permiten o confirman su identificación única, como la imagen facial o los datos dactiloscópicos;

15. Datos de salud" : los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios sanitarios, que revelan información sobre su estado de salud;

16. "establecimiento principal "::

  1. en el caso de un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento de datos personales se adopten en otro establecimiento del responsable del tratamiento en la Unión y que este último establecimiento esté facultado para ordenar la ejecución de dichas decisiones, en cuyo caso el establecimiento que haya adoptado dichas decisiones se considerará el establecimiento principal;
  2. con respecto a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar en el que esté establecida su administración central en la Unión o, cuando el responsable del tratamiento no tenga una administración central en la Unión, el establecimiento del responsable del tratamiento en la Unión en el que se lleven a cabo las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del responsable del tratamiento, en la medida en que dicho responsable esté sujeto a obligaciones específicas en virtud del presente Reglamento;

17. "representante" : una persona física o jurídica establecida en la Unión que, designada por el responsable o el encargado del tratamiento por escrito de conformidad con el artículo 27, les representa en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

18. Empresa ": persona física o jurídica, cualquiera que sea su forma jurídica, que ejerce una actividad económica, incluidas las sociedades o asociaciones que ejercen regularmente una actividad económica;

19. grupo de empresas": un grupo formado por una empresa que ejerce el control y las empresas controladas por dicha empresa;

20. "normas corporativas vinculantes" : las políticas de protección de datos personales aplicadas por un responsable o un encargado del tratamiento establecido en el territorio de un Estado miembro a la transferencia o al conjunto de transferencias de datos personales a un responsable o a un encargado del tratamiento en uno o varios terceros países, dentro de un grupo de empresas o de un grupo de empresas que realizan una actividad económica común;

21. 21. "Autoridad de control" : una autoridad pública independiente creada por un Estado miembro de conformidad con el artículo 51;

22. "autoridad de control afectada": una autoridad de control afectada por el tratamiento de datos personales porque:

  1. el responsable o el encargado del tratamiento esté establecido en el territorio del Estado miembro de dicha autoridad de control;
  2. los interesados que residen en el Estado miembro de la autoridad de control se ven o pueden verse sustancialmente afectados por el tratamiento; o
  3. se ha presentado una reclamación ante dicha autoridad de control;

23. "tratamiento transfronterizo" ::

(a) el tratamiento de datos personales que tenga lugar en el curso de las actividades de los establecimientos en más de un Estado miembro de un responsable o encargado del tratamiento en la Unión cuando el responsable o el encargado del tratamiento estén establecidos en más de un Estado miembro; o

(b) el tratamiento de datos personales que tenga lugar en el contexto de las actividades de un único establecimiento de un responsable o encargado del tratamiento en la Unión, pero que afecte o pueda afectar sustancialmente a interesados de más de un Estado miembro;

24. 25. "Objeción pertinente y motivada" : una objeción al proyecto de decisión sobre la existencia o no de una infracción del presente Reglamento, o sobre la conformidad de la acción prevista en relación con el responsable o el encargado del tratamiento con el presente Reglamento, cuya objeción demuestre claramente la pertinencia de los riesgos que plantea el proyecto de decisión en relación con los derechos y libertades fundamentales de los interesados y, en su caso, con la libre circulación de datos personales en la Unión;

25. "Servicio de la sociedad de la información": el servicio definido en el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo;

26. organización internacional ": una organización y los organismos de derecho internacional público subordinados a ella o cualquier otro organismo creado por o sobre la base de un acuerdo entre dos o más Estados.

1) REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD)

Como se ha mencionado, a partir del 25 de mayo de 2018, el GDPR ha pasado a ser obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros y, al mismo tiempo, la Direttiva 95/46/CE que regula actualmente, a nivel comunitario, el tratamiento de los datos.

A nivel nacional, actualmente está en vigor en nuestro país el Código de Privacidad, introducido por el Decreto Legislativo núm. 196/2003, que transpone la citada directiva y la relativa a la privacidad electrónica (es decir, la Directiva 58/2002 / CE).

Aunque el Reglamento prevalece sobre el derecho interno, el GDPR no supone la derogación automática de la ley estatal que regula la misma materia, sino la inaplicación concreta de las disposiciones del derecho interno en contraste con las nuevas disposiciones normativas europeas, en favor de la nueva disciplina.

Además, el considerando 10 del RGPD prevé expresamente "un margen y una maniobra de los Estados miembros para especificar sus normas, también en lo que respecta al tratamiento de categorías especiales de datos personales".

El RGPD consiste en tres principios inspiradores, que impregnan y sustentan el todo el sistema normativo y cuyo cumplimiento está amparado por un sistema sancionador, perfilado por los artículos 83 y ss., caracterizado por las figuras relevantes que vienen a golpear a los Responsables y Encargados del Tratamiento con sanciones administrativas de hasta 20 millones de euros o hasta el 4 % del volumen de negocio total anual a nivel mundial, más las sanciones penales previstas en la legislación nacional.

Estos principios esenciales son los de:

  • responsabilidad, es decir, el principio de responsabilidad: el Reglamento no lleva a cabo una tipificación precisa de las medidas técnicas y medidas organizativas, se expresa únicamente en términos de su adecuación al riesgo "teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el objeto, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas " (art. 32 del RGPD). Se trata de una profunda innovación, ya que se atribuye a los responsables del tratamiento la tarea de decidir de forma independiente los métodos, las garantías y los límites del tratamiento de los datos personales en cumplimiento de las disposiciones reglamentarias y a la luz de algunos criterios específicos indicados en el Reglamento. Esto requiere un enfoque integrado, que afecta a todas las áreas de negocio, concreto y basado en el riesgo y que da lugar a un comportamiento proactivo;
  • privacidad por diseño, que requiere la adopción de medidas de protección desde la fase de diseño del tratamiento;
  • privacidad por por defecto, que prescribe un uso que se limita, por defecto, sólo a los datos necesarios para responder a los fines específicos de la gestión de datos.

Principios básicos inspiradores que se reflejan en el llamado "pilares" del RGPD, es decir, en los principales innovaciones como:

A) La designación de el Responsable de la protección de datos (art. 37-39)

entendida como una figura fundamental que debe reunir en sí misma habilidades normativas, técnicas, comunicativas y un profundo conocimiento de la estructura y organización de la empresa;

B) El establecimiento del Registro de actividades de tratamiento (art.30 y cons. 171) que constituye el punto de partida para la elaboración de todo el sistema documental, encargado de recoger las evidencias, controles y procesos que permitan satisfacer la responsabilidad del sistema de privacidad;

C) El proceso de violación de datos, (art. 33 y 34) que es la notificación de las posibles violaciones de datos personales, que requiere un cuidadoso análisis y conocimiento de la información que se maneja, pero sobre todo inversiones tecnológicas en los métodos de vigilancia, aseguramiento y compartimentación de los daños que puedan derivarse.

Un corolario directo de los mencionados principios generales de responsabilidad, privacidad por diseño y privacidad por defecto , es que el pleno cumplimiento del RGPD exige que el tratamiento de los datos personales se realice de acuerdo con los principios de legalidad, corrección y transparencia.

Al igual que en la legislación anterior, el tratamiento es legal cuando se basa en una base legal base que, sin perjuicio en todo caso de la obligación de información del Responsable del Tratamiento, puede consistir en lo siguiente

  • el consentimiento del interesado que debe ser libre, específico, informado e inequívoco, no admitiéndose el consentimiento tácito o presunto: debe, en otras palabras, manifestarse mediante una " declaración o acción positivainequívoca". Además, en el caso de los datos "sensibles" a los que se refiere el art. 9, también debe ser "explícito", no necesariamente "documentado por escrito" ni prestarse en "forma escrita", aunque este método es el más adecuado para demostrar su realización, su inequívoca y su carácter "explícito";
  • cumplimiento de obligaciones contractuales obligaciones contractuales, e. el tratamiento es lícito y necesario para la ejecución de un contrato del que el interesado es parte o para la ejecución de medidas precontractuales que se adopten a petición del mismo;
  • obligaciones legales a las que está sujeto el responsable del tratamiento, en cuyo caso la finalidad está especificada por la ley;
  • intereses vitales del interesado o de terceros es decir, si es necesario para la protección de los intereses vitales del interesado o de otra persona física; sin embargo, sólo puede utilizarse como base jurídica si no puede aplicarse concretamente ninguna de las demás condiciones de licitud;
  • el interés legítimo preponderante del responsable del tratamiento o de los terceros a los que se comunican los datos, e. cuando el tratamiento sea necesario para la consecución de los intereses legítimos del responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular si el interesado es menor de edad;
  • interés público o el ejercicio de la autoridad pública o necesario para el cumplimiento de una misión de interés público o relacionada con el ejercicio de poderes públicos conferidos al responsable del tratamiento (a través del derecho estatal o de la Unión) y también en este caso la finalidad debe estar especificada por la ley.

El tratamiento de los datos personales es correcto si transparente hacia los interesados, es decir, los datos personales deben ser y tratarse con fines específicos, explícitos y legítimos, y sin incorrección o engaño hacia los interesados (estando por tanto prohibida la información confusa o parcial). La transparencia no es sólo un principio fundamental del tratamiento, sino también un derecho real del interesado: es decir, los métodos de recogida y utilización de los datos deben ser transparentes y correctos.

Los interesados deben ser informados sobre los fines del tratamiento, los métodos de tratamiento o y la dirección del responsable del tratamiento, antes de que se produzca el tratamiento propiamente dicho. Los métodos de tratamiento deben explicarse de forma comprensible para que los interesados puedan entender lo que ocurrirá con sus datos.

El interesado debe disponer de un procedimiento eficaz y accesible que le permita acceder a sus datos en un plazo razonable y, por tanto, saber si el titular tiene datos y cuáles son.

Por lo tanto, cualquier tratamiento oculto o secreto debe considerarse ilícito. Los propietarios y gestores deben garantizar a los interesados que el tratamiento de los datos será lícito y correcto y que se ajustará, en la medida de lo posible, a la voluntad de los interesados.

2) OBJETIVO Y ESTRUCTURA DEL MODELO

El objetivo de este Modelo Organizativo de Privacidad es garantizar y demostrar que el tratamiento de datos personales por parte de GLOBALTECH SOLUTIONS SAGL se realiza de forma lícita, correcta y transparente de acuerdo con la definición anteriormente expuesta, lo que se conseguirá mediante la realización de una gestión interna bien estructurada que promueva la cultura de la privacidad y la seguridad de los datos personales, consolidando los principios de conducta adecuados para garantizar la transparencia, la seguridad y la corrección de los tratamientos, aumentando su fiabilidad frente a sus accionistas, clientes, socios, consultores y empleados.

Con la consecuencia adicional de evitar el posible desembolso de las sanciones pecuniarias administrativas a las que se refiere el artículo 83 del GDPR, así como las sanciones pen ales a las que se refiere la legislación nacional, en la medida en que aún esté en vigor, pudiendo, con su adopción, demostrar la aplicación concreta, eficiente y eficaz de las medidas técnicas y organizativas adecuadas para la protección de los datos personales tratados por ella, directamente o a través de los sujetos los terceros que las llevan a cabo en su nombre.

Este Modelo Organizativo consta de diez secciones destinadas a proporcionar una visión general del sistema global de medidas técnicas y organizativas que, sobre la base de la sistemática concreta y necesidades operativas de GLOBALTECH SOLUTIONS SAGL, son consideradas adecuadas, que contiene los principios, las normas de organización y los instrumentos de control para garantizar el tratamiento lícito, correcto y transparente de los datos personales .

Especialmente:

  • Sección 1, que contiene algunas notas generales sobre los principios inspiradores del RGPD;
  • Sección 2, ilustrativa de la estructura de este Modelo;
  • La sección 3, dedicada a la política corporativa, e . la exposición de los principios generales de conducta adoptados por GLOBALTECH SOLUTIONS SAGL en el tratamiento de los datos personales en relación con su tipo;
  • Sección 4, ilustrativa de las cifras de la privacidad;
  • La sección 5, dedicada a la ilustración de los resultados de la evaluación;
  • Sección 6, que contiene el listado de las bases de datos de las empresas y la ilustración de cómo se archivan los datos;
  • Sección 7, de profundización en los métodos y herramientas de tratamiento de datos , también desde el punto de vista espacial;
  • Sección 8, relativa a las medidas de seguridad para proteger los riesgos señalados anteriormente;
  • Sección 9, que contiene breves notas sobre las instituciones de la información y el consentimiento como bases jurídicas válidas de legitimación del tratamiento.

3) POLÍTICA EMPRESARIAL

Para la consecución de sus fines, GLOBALTECH SOLUTIONS SAGL lleva a cabo las actividades que se describen a continuación:

  • la prestación de servicios en el contexto del marketing online;
  • la venta de espacios publicitarios en línea;
  • la venta de contenidos digitales, como cursos/consultas en vídeo sobre marketing y emprendimiento;
  • el ejercicio de la actividad de comercio electrónico como intermediario en el comercio en línea;
  • el examen de la situación específica de cada Cliente para formular una oferta calibrada ad hoc a las necesidades del usuario individual;
  • la sociedad podrá realizar cualquier otra actividad análoga o relacionada con la consecución del objeto social.

En el desarrollo de estas actividades, GLOBALTECH SOLUTIONS SAGL gestiona diferentes tipos de datos personales, a saber

  1. datos personales en sentido estricto referidos a los representantes legales de las empresas proveedoras de bienes y servicios, así como a los profesionales y consultores externos;
  2. datos bancarios de los clientes y proveedores.

En consonancia con la perspectiva de responsabilidad y riesgo del GDPR, es de primordial importancia -lógica incluso antes que jurídica- la correcta percepción de los "importancia" de los datos personales, es decir, el hecho de que no todos los datos personales son iguales y que, por tanto, no todos deben ser protegidos de la misma manera: a modo de ejemplo, un dato relativo a la salud es más delicado que otros y, en consecuencia, GLOBALTECH SOLUTIONS SAGL en la persona del Responsable del Tratamiento, ha diseñado y aplicado un sistema de protección más sólido.

Desde este punto de vista, el cifrado de datos y la seudonimización desempeñan un papel crucial, dos medidas de seguridad que resultan valiosas sobre todo en caso de ataque a los archivos o con ocasión de violaciones de datos, pérdida o robo de dispositivos y otras fugas de información no deseadas, lo que ocurre en la práctica tanto cuando el tratamiento se realiza con herramientas de papel como con herramientas informáticas.

La base legal para el tratamiento de dichos datos por parte de GLOBALTECH SOLUTIONS SAGL está representada por:

  • el cumplimiento de las obligaciones contractuales y precontractuales de las que GLOBALTECH SOLUTIONS SAGL forma parte;
  • el cumplimiento de las obligaciones legales a las que está sujeto;
  • para fines administrativos - contables;
  • interés legítimo del responsable del tratamiento.

Cada función de GLOBALTECH SOLUTIONS SAGL contendrá los datos personales enumerados en el mismo tiempo que su competencia.

gestionados en papel forma, todos los documentos se guardan en armarios y/o archivos cerrados con llave dentro de los locales de la empresa, también cerrados con llave. Las personas encargadas recibirán instrucciones precisas sobre el tratamiento de los datos y los documentos en papel, en particular la duplicación electrónica mediante el escaneo de los documentos en papel, con el fin de evitar su destrucción total accidental y la seudonimización mediante el archivo de los documentos.

Cuando se gestionan en formato electrónico forma, los datos y los documentos relacionados se procesan mediante ordenadores personales , fijos y portátiles, así como mediante smartphones. Todos los dispositivos informáticos están protegidos por un doble orden de contraseñas: la primera se solicita al encender el terminal y la segunda para acceder a las plataformas informáticas de gestión. Ambas contraseñas son conocidas exclusivamente por el administrador del dispositivo informático y el administrador del sistema. En el caso de utilizar un PC distinto al suyo, el responsable de los datos debe, sin embargo, volver a conectarse a la red con sus credenciales. Toda la gestión de los datos electrónicos es gestionada de forma independiente por el responsable del tratamiento, por lo que no incurre en los riesgos relacionados con una posible externalización, y garantiza la máxima capacidad técnica y atención a una gestión de datos correcta y protegida.

Todas las credenciales de acceso se guardan con el máximo cuidado y, en caso de su robo o pérdida, la intervención inmediata del Responsable de Protección de Datos en virtud del art. 37 del Reglamento UE 679/2016 que, sin demora, requiere la intervención inmediata del Administrador del Sistema para bloquear las credenciales objeto de robo y/o pérdida, verificar la ausencia de cualquier acceso no autorizado a medio plazo y proporcionar nuevas credenciales de autenticación que, en el primer acceso del responsable, deben ser modificadas por él y bajo su única responsabilidad.

En relación con el uso de programas informáticos de contabilidad y para la detección de la asistencia de los empleados, también se da la situación de:

- Responsabilidad por El tratamiento, tal y como se define en el artículo 28 del GDPR, regulado por un contrato de designación como Procesador de Datos, en relación con el externalización de los servicios informáticos.

Si es necesario o instrumental para la ejecución de los fines específicos, los datos personales, así como por el personal interno de GLOBALTECH SOLUTIONS SAGL se comunican a los destinatarios designados de conformidad con el artículo 28 GDPR, que los procesan como Gerentes y / o como personas físicas que actúan bajo la autoridad del Controlador de Datos y el Gerente con el fin de cumplir con las obligaciones legales, a los contratos o los fines relacionados.

Precisamente, los datos pueden ser comunicados a destinatarios pertenecientes a las siguientes categorías:

  • Empresas asociadas o corresponsables del tratamiento de datos personales;
  • Sujetos que prestan servicios para la gestión del sistema de información y las redes de comunicación de GLOBALTECH SOLUTIONS SAGL, incluido el correo electrónico;
  • Empresas profesionales en el marco de las relaciones de asistencia y asesoramiento;
  • Autoridades competentes para el cumplimiento de las obligaciones legales y/o disposiciones de los Organismos Públicos, previa solicitud;
  • Entidades de crédito y compañías de seguros.

La lista de procesadores de datos designados se actualiza constantemente y está disponible en la sede de la empresa y en sus portales informáticos. En ningún caso los datos recogidos por GLOBALTECH SOLUTIONS SAGL son objeto de difusión y/o transferencia al extranjero, ni dentro ni fuera de la Unión Europea, salvo lo estrictamente necesario para permitir el cumplimiento de la relación contractual prevista por la actividad de marketing online.

En cumplimiento de lo dispuesto en el art. 5, apartado 1, letra e) del RGPD, los datos personales se almacenan en una forma que permite la identificación del interesado o durante una extensión de tiempo que no exceda el cumplimiento de los fines para los que se procesan los datos o según los plazos previstos por la ley. La verificación de la obsolescencia de los datos almacenados en relación con los fines para los que fueron recogidos se realiza periódicamente, bajo la supervisión del responsable de la protección de datos.

4) CONTROLADORES DE DATOS Y PROCESADORES DE DATOS

Las figuras y funciones que intervienen en GLOBALTECH SOLUTIONS SAGL en la protección de las personas físicas con respecto al tratamiento de los datos personales son:

A) CONTROLADOR DE DATOS

Por regla general, es la misma empresa GLOBALTECH SOLUTIONS SAGL la que desempeña esta función y sobre la que recaen, en consecuencia, todas las obligaciones y responsabilidades que la ley italiana y europea le imponen. En primer lugar, la obligación de implementar, revisar y actualizar las medidas técnicas y organizativas adecuadas para garantizar, y poder demostrar, que el tratamiento es realizado por ella de acuerdo con el GDPR.

En cuanto al régimen de responsabilidad, GLOBALTECH SOLUTIONS SAGL responde como titular, en exclusiva, de los daños materiales o inmateriales causados a cualquier interesado por una violación del GDPR, salvo que demuestre que el hecho dañoso no es en modo alguno imputable a la Compañía. Además, GLOBALTECH SOLUTIONS SAGL es responsable de las sanciones pecuniarias administrativas impuestas por el Garante, cuyo importe máximo previsto por el GDPR para las infracciones más graves es igual a 20 millones de euros o hasta el 4% del volumen de negocios total anual.

B) RESPONSABLE DEL TRATAMIENTO DE DATOS

El GDPR define en su artículo 28 al Encargado del Tratamiento como el sujeto que realiza el tratamiento de los datos personales por cuenta del Responsable del Tratamiento, presentando garantía suficiente para aplicar las medidas técnicas y organizativas adecuadas de forma que los propios tratamientos cumplan los requisitos del GDPR y garanticen la protección de los derechos del interesado.

Al no estar prohibido y ser sumamente adecuado para garantizar la efectiva aplicación y supervisión de la normativa GDPR, de acuerdo con la actitud prudencial orientada al máximo respeto, GLOBALTECH SOLUTIONS SAGL asume el papel de responsable del tratamiento de datos de la Sociedad, en relación con aquellas situaciones en las que realiza actividades de intermediación en el comercio online en el sector del comercio electrónico.

Los Procesadores de Datos internos identificados son los referentes de las siguientes funciones:

- compras y contratos;

- administración, finanzas, recursos humanos, servicios generales y sistemas de información.

Asimismo, el contrato de nombramiento de Encargados de Tratamiento "externos" está previsto que adopte la forma de adenda para los contratos existentes, integrándose en el texto contractual para las nuevas cesiones. Sin perjuicio de la revisión periódica por parte del Delegado de Protección de Datos de los modelos facsímiles de los contratos de nombramiento correspondientes, adjuntos a este Modelo Organizativo.

En cuanto al régimen de responsabilidad, los encargados del tratamiento son responsables de los daños causados por el tratamiento sólo si no han cumplido con las obligaciones del GDPR específicamente dirigidas a ellos o si han actuado de forma diferente o contraria a las instrucciones legítimas del responsable del tratamiento GLOBALTECH SOLUTIONS SAGL

También están exentos de responsabilidad por daños y perjuicios si demuestran que el hecho dañoso no les es imputable en modo alguno. También son responsables de las sanciones pecuniarias administrativas impuestas por la Autoridad de Garantía según los mismos términos y métodos que el Responsable del Tratamiento.

5) EVALUACIÓN DE RIESGOS

Para la puesta en marcha de las acciones encaminadas a la adaptación al nuevo Reglamento UE 679/2016 sobre datos personales, se ha realizado un estudio de la organización actual y de la documentación vigente sobre privacidad y medidas técnicas utilizadas.

En particular, con la ayuda de consultores externos, se examinó la principal documentación organizativa y de procedimiento; a la luz de este análisis, se preparó un cuestionario específico destinado a identificar los principales riesgos de incumplimiento del Reglamento UE 679/2016.

Este cuestionario se tomó como referencia en el curso de la actividad de la audiencia.  

Sobre la base de la información y las evaluaciones comunicadas, así como de las salvaguardias existentes para mitigar los riesgos identificados, se llevó a cabo una evaluación sobre el nivel probabilidad del riesgo, sobre el impacto económico que puede derivarse, sobre el nivel de detectabilidad del riesgo en relación con los controles preventivos realizados.

Para la evaluación de estos riesgos se utilizó una escala de valores en 5 niveles:

En cuanto a la evaluación de la detectabilidad del riesgo, por otro lado, los principales elementos que se han considerado están relacionados con:

procedimientos completos y formalizados,

controles adecuados y trazabilidad,

responsabilidades organizativas definidas.

El análisis de riesgos realizado fue autoevaluable y se apoyó en un análisis crítico de las valoraciones expresadas, realizado por consultores externos, gracias a cuya contribución fue posible realizar un análisis lo más cercano posible a la empresa.

Para cada riesgo, el riesgo clasificación (IPR) fue identificado, calculado sobre la base de las siguientes variables:

Riesgo bruto: media entre la probabilidad de riesgo y el posible impacto económico

Riesgo residual neto : riesgo bruto neto del nivel de detectabilidad del riesgo.

Para representar de forma sintética los resultados de las evaluaciones de riesgos realizadas, se construyó la Matriz de Riesgos , que muestra las valoraciones de los riesgos a los que está expuesta cada función de la empresa de referencia.

El color de cada celda está en función de la evaluación del riesgo residual bruto/neto, según una escala de valores que va de 1 a 5.

Sobre la base de los posibles riesgos identificados y de las evaluaciones realizadas, a continuación se presenta la lista de riesgos con su correspondiente evaluación:

A partir del análisis realizado , se han identificado 27 riesgos, lo que muestra un riesgo neto global muy bajo .

En la actividad de análisis de riesgos, también se valoró la necesidad de realizar una evaluación de impacto con referencia al tratamiento de datos que "puede presentar un alto riesgo para los derechos y libertades de las personas físicas".

El análisis realizado no reveló la necesidad de realizar una evaluación de impacto detallada (la llamada DPIA) en sentido estricto, ya que ninguna de las condiciones mencionadas en el apartado 1 , así como en las letras a), b) y c), apartado 2, del art. 25 del GDPR: GLOBALTECH SOLUTIONS SAGL de hecho, hace uso de las nuevas tecnologías para llevar a cabo tipos de tratamiento caracterizados por un alto riesgo para los derechos y libertades de las personas físicas y también opera la evaluación sistemática y global de los aspectos personales de las personas físicas basadas en el tratamiento automatizado.

En el caso de que a lo largo del tiempo se produzca la existencia de algunas de las condiciones mencionadas y se produzca, con la colaboración del RPD, se volverá a realizar el análisis y evaluación de estos riesgos y se valorará la necesidad de realizar una evaluación de impacto en sentido técnico.

6) BASES DE DATOS DE LA EMPRESA Y MÉTODOS DE ARCHIVO

La gestión informática de GLOBALTECH SOLUTIONS SAGL es gestionada de forma independiente por el responsable del tratamiento. La gestión de las bases de datos y, en consecuencia, de los datos personales contenidos en las mismas se confía al mismo responsable del tratamiento, que asume toda la carga de formación y adaptación tecnológica relacionada con las mismas.

Sobre la base del perfil de autorización asignado, el administrador del sistema opera en la infraestructura informática que reside en las oficinas de 6900, Lugano (TI), Via Zurigo n. 35.

La siguiente tabla muestra las bases de datos gestionadas y la descripción de las áreas de operación:

7) ZONAS, LOCALES, INSTRUMENTOS DE TRATAMIENTO

El tratamiento de los datos se realiza, en la forma que se indica a continuación, tanto en la sede legal como en la operativa, situada en 6900, Lugano (TI), Via Zurigo n. 35, y en todas las oficinas operativas que se abrirán en el futuro.

El acceso al edificio donde se encuentran las instalaciones de la empresa también está permitido al público y se realiza desde una única entrada, situada en la misma dirección, que está sujeta a una supervisión ininterrumpida. El acceso está permitido en ausencia de autorización, o por la noche.

Las salas y los locales en los que se llevan a cabo las actividades de secretaría de dirección, así como las actividades administrativas, están reservados; el acceso a estos locales está sujeto a ininterrumpida supervisión durante las horas de trabajo y de apertura de la oficina y sólo se permite a las personas autorizadas. La sala de servidores se encuentra dentro de las salas delegadas a la actividad administrativa, con acceso limitado a las personas autorizadas; la entrada está dotada de cerradura. Los dispositivos que contiene han surgido en cumplimiento de las normas de seguridad.

Los soportes en papel, incluidos los que contengan imágenes, se recogerán en archivos ubicados en la sede, en las respectivas oficinas de competencia, y se colocarán en armarios o salas con cerradura de llave, con acceso permitido o sólo a personas autorizadas. En estos archivos se conservan los documentos de uso común y continuo, así como los que han llegado al final del ciclo de funcionamiento. Todos los documentos son archivados por el protocolo; se ha aconsejado establecer un escaneo de los mismos, preparando un archivo o un ordenador.

En cuanto a las herramientas utilizadas y los tipos de datos tratados, cabe señalar que:

  • Los datos comunes se procesan estadísticamente con papel y procesamiento;
  • Los ordenadores presentes están conectados en red con otros y sólo tienen una conexión a Internet filtrada por sistemas anti-intrusión(firewall).

A continuación se presenta un cuadro resumen de la estructura competente para el tratamiento de los datos y la correspondiente descripción del tratamiento:

8) MEDIDAS DE SEGURIDAD ADOPTADAS

A la luz de los factores y áreas de riesgo identificados en este Modelo, las medidas para asegurar:

- la protección de las zonas y los locales en los que se realiza el tratamiento de los datos personales;

- el almacenamiento y la custodia correctos de los documentos y soportes que contengan datos personales;

- seguridad lógica, en el ámbito de los instrumentos electrónicos.

En cuanto al riesgo de que los datos se dañen o se pierdan como resultado de eventos destructivos, los locales donde se realiza el procesamiento de datos están protegidos por:

- dispositivos de lucha contra el fuego exigidos por la legislación vigente;

- unsay supply supply;

- sistema de aire acondicionado.

Para el tratamiento realizado con instrumentos electrónicos, existen y son operativas las siguientes medidas:

  • creación y gestión de un sistema de autentificación informática para conocer la identidad de las personas que tienen acceso a las herramientas electrónicas (perfil de acceso a la red y a los programas de aplicación y gestión );
  • las políticas de la empresa garantizan la seguridad de todos los datos que circulan, mediante el control de las autorizaciones y la definición de los tipos de datos a los que los responsables pueden acceder y utilizar en función de sus funciones laborales;
  • protección de las herramientas y los datos contra las averías y los ciberataques mediante cortafuegos y antivirus centralizados ;
  • prescripción de las precauciones adecuadas para el almacenamiento y uso de soportes extraíbles que contengan datos personales.

Las siguientes fichas muestran las medidas adoptadas para proteger las herramientas informáticas de los riesgos identificados:

Además, la empresa proporciona a los recursos humanos formación e información periódica sobre los temas que abarca este Modelo, con el fin de elevar la cultura de la gestión correcta y segura de los datos.

9) INFORMACIÓN Y CONSENTIMIENTOS

La obligación de proporcionar información es la principal obligación impuesta por el GDPR al Responsable del Tratamiento, cuyo incumplimiento, además, se sanciona con la aplicación de las sanciones más severas.

GLOBALTECH SOLUTIONS SAGL cumple con esta obligación poniendo a disposición de los interesados una política de privacidad que, además de ser plenamente conforme en su contenido con lo dispuesto en el artículo 13 del GDPR, es también detallada más allá de lo estrictamente necesario, habiendo proporcionado, además de información general válida para cada interesado, también información específica diversificada en función de las categorías de destinatarios. Todo ello con el fin de garantizar y asegurar que cada interesado pueda beneficiarse concretamente de un marco informativo completo.

La consecución del objetivo de GLOBALTECH SOLUTIONS SAGL de cumplir plenamente con el GDPR, además, pasa necesariamente por los fundamentos de licitud del tratamiento de datos, es decir, el cumplimiento del supuesto por el que cada tratamiento debe estar basado en una base legal adecuada.

Las bases jurídicas en las que basar la licitud del tratamiento se indican en el artículo 6 del RGPD y coinciden, a grandes rasgos, con las actualmente previstas en el Código de Privacidad: consentimiento expreso, cumplimiento de las obligaciones vigentes, obligaciones del ggge a las que está sujeto el Responsable del Tratamiento. Una consecuencia directa es que la obtención y gestión del consentimiento no es obligatoria para todas las actividades de tratamiento de datos personales, ya que es sólo una una de las muchas herramientas para legitimar las actividades de tratamiento.

Entre las bases legales para el tratamiento de datos reconocidas por el GDPR e idóneas para fundamentar el tratamiento de datos por parte de GLOBALTECH SOLUTIONS SAGL se encuentran:

1) las obligaciones legales y su cumplimiento, que representa la base más severa, precisa, pero también óptima para el tratamiento de los datos, lo que implica la existencia de al menos una disposición legal que exige, justificándola, el tratamiento de los datos;

2) cumplimiento contractual, ya sea indispensable para ejecutar el contrato existente con el interesado o para estipular un nuevo contrato, con la aclaración de que en relación con las medidas precontractuales el inicio de las fases de tratamiento debe realizarse a iniciativa del interesado;

3) intereses legítimos, que aunque ambigua, ofrece la posibilidad de desarrollar una justificación para el tratamiento de datos evitando la gestión del consentimiento de los interesados pero válida sólo en situaciones en las que los intereses, derechos o libertades de los interesados no prevalezcan sobre los intereses del Responsable del Tratamiento;

4) el consentimiento del interesado que debe reflejar la actuación discrecional del interesado mediante una respuesta positiva estructurada e inequívoca, dada libremente, al tratamiento de sus datos personales.

También en este contexto, yendo más allá de lo estrictamente imprescindible, GLOBALTECH SOLUTIONS SAGL ha elaborado modelos de consentimiento diversificados en función de la categoría de los interesados y de los fines específicos para cuya realización se presta el consentimiento y ello, con el fin de que éste sea lo más consciente e informado posible.

Este Modelo de Organización de la Privacidad está sujeto a verificación y posible actualización anual.

Documento actualizado el 12 de diciembre de 2021

ARTÍCULO FAVORITO
EXPLORA
MARKETING DIGITAL
E-COMMERCE
OTROS
PUBLICIDAD
banner
© 2023 | DIGITECHCIRCLE.COM - BLOG DE TECNOLOGÍA. TODOS LOS DERECHOS RESERVADOS. ESTA MARCA HA SIDO CEDIDA EN CONCESIÓN DE USO A GLOBALTECH SOLUTIONS SAGL.
© 2023 | DIGITECHCIRCLE.COM - BLOG DE TECNOLOGÍA. TODOS LOS DERECHOS RESERVADOS. ESTA MARCA HA SIDO CEDIDA EN CONCESIÓN DE USO A GLOBALTECH SOLUTIONS SAGL.