Política LOPD
Cumplimiento de la legislación de protección de datos, Reglamento General (UE) 679/2016 y Ley Orgánica 3/2018 de protección de datos, en Previntegral
1 – Introducción
El Reglamento general de protección de datos (UE) 679/2016 (RGPD) establece los requisitos legales para cualquier tratamiento de datos personales en la Unión Europea. Es directamente aplicable en todos los estados miembros.
La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD) desarrolla y completa al RGPD en España, así como el funcionamiento de la autoridad de control: la Agencia Española de Protección de Datos.
Este documento contiene información sobre el cumplimiento de la legislación vigente sobre protección de datos personales en el marco de actividades y servicios de PREVINTEGRAL, y está dirigido a clientes y clientes potenciales de la entidad.
2 – Servicios de PREVINTEGRAL y su rolo como responsable del tratamiento
Previntegral es un servicio de prevención ajeno (SPA) y cuenta con medios humanos y materiales, con el objetivo dar soporte al resto a las empresas clientes con el fin de garantizar la adecuada protección de la seguridad y salud de los trabajadores.
Desde el punto de la legislación de protección de datos, Previntegral actúa en calidad de responsable del tratamiento, y está legitimado para tratar los datos en base a la ejecución del contrato de servicios y cumplimiento de sus obligaciones legales como servicio de prevención.
En relación al punto anterior, la AEPD ha analizado en diversos dictámenes y guías, si el rol de los servicios de prevención ajeno era el de responsable o encargado, establecimiento claramente la figura de responsable para estos casos. A modo de ejemplo, véase:
Informe 0608/2009 del Gabinete Jurídico de la AEPD
Informe jurídico 112/2008 del Gabinete Jurídico de la AEPD
Guía “La protección de datos en las relaciones laborales”, AEPD, mayo de 2021, donde se establece (páginas 76 y 75):
La condición de responsable del tratamiento varía según se trate de un servicio de prevención propio, ajeno o mancomunado (…) El servicio de prevención ajeno será responsable del tratamiento. En estos supuestos existe una total separación entre la empresa y el servicio de prevención
La relación entre la empresa y el servicio de prevención requerirá un tratamiento de datos, en concreto comunicaciones de datos relativos a las personas trabajadoras, que no exigen el consentimiento de éstas porque la base jurídica es una obligación legal, la prevención de riesgos laborales.
En términos similares, también actúa como responsable el servicio de vigilancia de la salud de los trabajadores.
Por los motivos anteriores, Previntegral no formaliza un contrato de encargado de tratamiento con sus clientes, salvo que estos acrediten de forma motivada y específica dicha relación de encargado, así como los tratamientos de datos en cuestión.
3 – Aplicación de los requerimientos del RGPD en Previntegral
Previntegral cumple la legislación de protección de datos, RGPD y LOPDGDD, incluyendo lo siguiente:
(i) tratamiento de los datos conforme a las bases legitimadoras establecidas en los artículos 6, 9, 10 del RGPD
(ii) procedimientos para garantizar la transparencia de la protección de datos y el ejercicio de los derechos de acuerdo con los artículos 13-22 del RGPD.
(iii) asesoramiento especializado para garantizar la protección de datos en el diseño y, por defecto, como se establece en el art. 25 del RGPD.
(v) formalización de contratos de encargado del tratamiento cuando corresponda, según lo establecido por el art. 28 del RGPD.
(vi) registro de actividades de tratamiento conforme al art. 30 del RGPD.
(vii) medidas de seguridad y procedimientos de auditoría de acuerdo con el artículo 32 del RGPD.
(viii) procedimientos para garantizar la comunicación de la violación de datos de acuerdo con los artículos 33-34 del RGPD. Notificaciones a las autoridades de protección de datos (Autoridad Española de Protección de Datos) y a las personas cuyos datos se hayan visto comprometidos por violaciones de seguridad de datos (artículos 33 y 34 del GDPR) a menos que no existan riesgos para las personas como consecuencia de tales violaciones.
(ix) realización del análisis de riesgos y/o evaluación de impacto y consultas previas en base a los artículos 25, 35 y 36 del RGPD.
(x) Designación de la función interna de protección de datos, con email de contacto rgpd@previntegral.com
(xi) Las personas de autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad de los datos personales y a cumplir las medidas de seguridad correspondientes, de las que se les informa convenientemente.
(xii) Responsabilidad proactiva en el cumplimiento de la protección de datos (art. 5 RGPD)
4 - Puntos de contacto en materia de protección de datos
Para cualquier cuestión en esta materia, contactar con rgpd@previntegral.com
5 - Anexo Medidas de seguridad aplicadas
Siguiendo la estricta legislación española y europea de protección de datos, Previntegral ha implementado las siguientes medidas de seguridad:
- Política de seguridad de la información y protocolos de seguridad documentados. Previntegral documenta sus prácticas de seguridad y los procedimientos que debe seguir el personal.
- Funciones y obligaciones del personal: el personal del Previntegral recibe la formación necesaria en materia de protección de datos.
- Gestión de incidentes: los incidentes que podrían provocar una violación de datos son gestionados por el departamento de informática del grupo.
- Identificación y autenticación: procedimientos de identificación y autenticación basados en contraseñas o mecanismos similares. Existe un proceso para asignar, distribuir y almacenar contraseñas que garantiza su confidencialidad, integridad e identificación individual para los usuarios, y su almacenamiento ininteligible
- Control de acceso: el personal solo está autorizado a acceder a los recursos necesarios para realizar sus tareas. El acceso privilegiado se limita al personal que lo requiere en base a sus funciones.
- Control de acceso físico: la infraestructura que proporciona el servicio está alojada en un espacio equipado con control de acceso y sistemas de monitoreo y control para garantizar que solo las personas autorizadas tengan acceso.
- Deber de confidencialidad: obligatorio para todo el personal y por escrito, en relación a los datos de carácter personal.
- Administración de dispositivos: administración e inventario de los dispositivos (ordenadores, dispositivos móviles, etc.) incluyendo mecanismos de bloqueo el acceso y cifrado de la información en dispositivos móviles inteligentes.
- Eliminación de datos: medidas para la destrucción de documentos y soportes electrónicos.
- Copias de respaldo y recuperación: copias de seguridad diarias. Las copias de seguridad se almacenan en diferentes ubicaciones.
- Cifrado en la transmisión de redes públicas e inalámbricas, certificados SSL para el tráfico web con datos personales y demás información sensible.