Política de RGPD

En sus operaciones diarias, SKU Tracker utiliza una variedad de datos sobre individuos identificables, incluyendo datos sobre:

  • Empleados actuales, pasados y potenciales
  • Clientes
  • Usuarios de sus sitios web
  • Suscriptores, y
  • Otros interesados.

Al recopilar y utilizar estos datos, la organización está sujeta a diversas legislaciones que controlan cómo se pueden llevar a cabo dichas actividades y las salvaguardias que deben implementarse para protegerlos. El propósito de esta política es establecer la legislación relevante y describir los pasos que SKU Tracker está tomando para garantizar su cumplimiento. Este control se aplica a todos los sistemas, personas y procesos que constituyen los sistemas de información de la organización, incluidos los miembros de la junta, directores, empleados, proveedores y otros terceros que tienen acceso a los sistemas e información de SKU Tracker.

Las siguientes políticas y procedimientos son relevantes para este documento:

  • Proceso de Evaluación de Impacto de Protección de Datos,
  • Procedimiento de Mapeo de Datos Personales,
  • Procedimiento de Evaluación de Interés Legítimo,
  • Procedimiento de Respuesta a Incidentes de Seguridad de la Información,
  • Roles y Responsabilidades del RGPD, y
  • Política de Retención y Protección de Registros.

El Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos 2016 (RGPD) es una de las piezas de legislación más significativas que afectan la forma en que SKU Tracker lleva a cabo sus actividades de procesamiento de información. Se aplican multas significativas si se considera que se ha producido una infracción bajo el RGPD, que está diseñado para proteger los datos personales de los ciudadanos de la Unión Europea.

Definiciones

Hay un total de 26 definiciones enumeradas dentro del RGPD, y no es apropiado reproducirlas todas aquí. Sin embargo, las definiciones más fundamentales con respecto a esta política son las siguientes:

Los datos personales se definen como: cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física;

"Procesamiento" significa: cualquier operación o conjunto de operaciones que se realiza sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, alineación o combinación, restricción, borrado o destrucción;

"Controlador" significa: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del procesamiento de datos personales; cuando los fines y medios de dicho procesamiento estén determinados por la legislación de la Unión o de los Estados miembros, el controlador o los criterios específicos para su nombramiento podrán ser establecidos por la legislación de la Unión o de los Estados miembros;

Principios Relativos al Procesamiento de Datos Personales

Hay varios principios fundamentales en los que se basa el RGPD. Estos son los siguientes:

Los datos personales serán:

a. Tratados de manera lícita, leal y transparente en relación con el interesado ('licitud, lealtad y transparencia');

b. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, de conformidad con el artículo 89, apartado 1 ('limitación de la finalidad');

c. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados ('minimización de datos');

d. Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan ('exactitud');

e. Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado ('limitación del plazo de conservación');

f. Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ('integridad y confidencialidad').

g. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ('responsabilidad proactiva'). SKU Tracker se asegurará de cumplir con todos estos principios tanto en el procesamiento que realiza actualmente como en la introducción de nuevos métodos de procesamiento, como nuevos sistemas de TI.

Derechos del Individuo

El interesado también tiene derechos bajo el RGPD. Estos consisten en:

  • El derecho a ser informado
  • El derecho de acceso
  • El derecho de rectificación
  • El derecho de supresión
  • El derecho a la limitación del tratamiento
  • El derecho a la portabilidad de datos
  • El derecho de oposición
  • Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles.

Cada uno de estos derechos está respaldado por procedimientos apropiados dentro de SKU Tracker que permiten que la acción requerida se tome dentro de los plazos establecidos en el RGPD.

Licitud del Tratamiento

Existen seis formas alternativas en las que se puede establecer la licitud de un caso específico de procesamiento de datos personales bajo el RGPD. Es política de SKU Tracker identificar la base apropiada para el procesamiento y documentarla, de acuerdo con el Reglamento. Las opciones se describen brevemente en las siguientes secciones.

Consentimiento

A menos que sea necesario por una razón permitida en el RGPD, SKU Tracker siempre obtendrá el consentimiento explícito de un interesado para recopilar y procesar sus datos. En el caso de niños menores de 16 años (puede permitirse una edad menor en estados miembros específicos de la UE) se obtendrá el consentimiento de los padres. Se proporcionará información transparente sobre nuestro uso de sus datos personales a los interesados en el momento en que se obtenga el consentimiento y se explicarán sus derechos con respecto a sus datos, como el derecho a retirar el consentimiento. Esta información se proporcionará en una forma accesible, escrita en un lenguaje claro y de forma gratuita. Si los datos personales no se obtienen directamente del interesado, entonces esta información se proporcionará al interesado dentro de un período de tiempo razonable después de obtener los datos y definitivamente dentro de un mes.

Ejecución de un Contrato

Cuando los datos personales recopilados y procesados son necesarios para cumplir con un contrato con el interesado, no se requiere el consentimiento explícito. Este será a menudo el caso cuando el contrato no puede completarse sin los datos personales en cuestión, por ejemplo, una entrega no puede realizarse sin una dirección de entrega.

Obligación Legal

Si los datos personales deben recopilarse y procesarse para cumplir con la ley, entonces no se requiere el consentimiento explícito. Este puede ser el caso de algunos datos relacionados con el empleo y los impuestos, por ejemplo, y para muchas áreas abordadas por el sector público.

Intereses Vitales del Interesado

En un caso donde los datos personales son necesarios para proteger los intereses vitales del interesado o de otra persona física, entonces esto puede usarse como base legal del procesamiento. SKU Tracker conservará evidencia razonable y documentada de que este es el caso, siempre que se use esta razón como base legal para el procesamiento de datos personales. Como ejemplo, esto puede usarse en aspectos de asistencia social, particularmente en el sector público.

Tarea Realizada en Interés Público

Cuando SKU Tracker necesite realizar una tarea que considere de interés público o como parte de un deber oficial, no se solicitará el consentimiento del interesado. La evaluación del interés público o deber oficial se documentará y se pondrá a disposición como evidencia cuando sea necesario.

Intereses Legítimos

Si el procesamiento de datos personales específicos está en los intereses legítimos de SKU Tracker y se juzga que no afecta significativamente los derechos y libertades del interesado, entonces esto puede definirse como la razón legal para el procesamiento. Nuevamente, se documentará el razonamiento detrás de esta visión.

Privacidad por Diseño

SKU Tracker ha adoptado el principio de privacidad por diseño y garantizará que la definición y planificación de todos los nuevos sistemas o significativamente cambiados que recopilen o procesen datos personales estarán sujetos a la debida consideración de los problemas de privacidad, incluida la realización de una o más evaluaciones de impacto de protección de datos.

La evaluación de impacto de protección de datos incluirá:

  • Consideración de cómo se procesarán los datos personales y para qué fines
  • Evaluación de si el procesamiento propuesto de datos personales es necesario y proporcional al propósito(s)
  • Evaluación de los riesgos para las personas al procesar los datos personales
  • Qué controles son necesarios para abordar los riesgos identificados y demostrar el cumplimiento de la legislación
  • Se considerarán técnicas como la minimización de datos y la seudonimización cuando sea aplicable y apropiado.

Contratos que Implican el Procesamiento de Datos Personales

SKU Tracker se asegurará de que todas las relaciones que establezca que impliquen el procesamiento de datos personales estén sujetas a un contrato documentado que incluya la información específica y los términos requeridos por el RGPD. Para obtener más información, consulte la Política de Acuerdo Controlador-Procesador del RGPD.

Transferencias Internacionales de Datos Personales

Las transferencias de datos personales fuera de la Unión Europea se revisarán cuidadosamente antes de que se lleve a cabo la transferencia para garantizar que se encuentren dentro de los límites impuestos por el RGPD. Esto depende en parte del juicio de la Comisión Europea sobre la adecuación de las salvaguardias para los datos personales aplicables en el país receptor y esto puede cambiar con el tiempo. Las transferencias internacionales de datos dentro del grupo estarán sujetas a acuerdos legalmente vinculantes denominados Normas Corporativas Vinculantes (BCR) que proporcionan derechos exigibles para los interesados.

Delegado de Protección de Datos

Se requiere un rol definido de Delegado de Protección de Datos (DPO) bajo el RGPD si una organización es una autoridad pública, si realiza un monitoreo a gran escala o si procesa tipos de datos particularmente sensibles a gran escala. Se requiere que el DPO tenga un nivel apropiado de conocimiento y puede ser un recurso interno o subcontratado a un proveedor de servicios apropiado. Basado en estos criterios, SKU Tracker no requiere que se designe un Delegado de Protección de Datos.

Notificación de Violación

Es política de SKU Tracker ser justo y proporcional al considerar las acciones a tomar para informar a las partes afectadas sobre las violaciones de datos personales. En línea con el RGPD, cuando se sabe que ha ocurrido una violación que es probable que resulte en un riesgo para los derechos y libertades de las personas, se informará a la autoridad supervisora relevante dentro de las 72 horas. Esto se gestionará de acuerdo con nuestro Procedimiento de Respuesta a Incidentes de Seguridad de la Información que establece el proceso general para manejar incidentes de seguridad de la información. Bajo el RGPD, la DPA relevante tiene la autoridad para imponer una serie de multas de hasta el cuatro por ciento de la facturación anual mundial o veinte millones de euros, lo que sea mayor, por infracciones de las regulaciones.

Abordando el Cumplimiento del RGPD

Se llevan a cabo las siguientes acciones para garantizar que SKU Tracker siempre cumpla con el principio de responsabilidad del RGPD:

  • La base legal para el procesamiento de datos personales es clara e inequívoca
  • Se nombra un Delegado de Protección de Datos con responsabilidad específica para la protección de datos en la organización (si es necesario)
  • Todo el personal involucrado en el manejo de datos personales comprende sus responsabilidades para seguir buenas prácticas de protección de datos
  • Se ha proporcionado capacitación en protección de datos a todo el personal
  • Se siguen las reglas con respecto al consentimiento
  • Hay rutas disponibles para los interesados que deseen ejercer sus derechos con respecto a los datos personales y dichas consultas se manejan de manera efectiva
  • Se realizan revisiones regulares de los procedimientos que involucran datos personales
  • Se adopta la privacidad por diseño para todos los sistemas y procesos nuevos o modificados
  • Se registra la siguiente documentación de las actividades de procesamiento:
    • Nombre de la organización y detalles relevantes
    • Propósitos del procesamiento de datos personales
    • Categorías de individuos y datos personales procesados
    • Categorías de destinatarios de datos personales
    • Acuerdos y mecanismos para transferencias de datos personales a países no pertenecientes a la UE, incluidos los detalles de los controles implementados
    • Programas de retención de datos personales
    • Controles técnicos y organizativos relevantes implementados

Estas acciones se revisan regularmente como parte del proceso de gestión relacionado con la protección de datos.

Esta Política es efectiva a partir del 27 de agosto de 2019.

Ayuda y soporte

[email protected]

Consultas generales

[email protected]

Ubicación

Calle Inmaculada Concepcio 7, Vilanova i la Geltrú 08800 Barcelona