Política LOPD
Compliment de la legislació de protecció de dades, Reglament General (UE) 679/2016 i Llei Orgànica 3/2018 de protecció de dades, a Previntegral
1 – Introducció
El Reglament general de protecció de dades (UE) 679/2016 (RGPD) estableix els requisits legals per a qualsevol tractament de dades personals a la Unió Europea. És directament aplicable a tots els estats membres.
La Llei orgànica 3/2018 de protecció de dades personals i garantia de drets digitals (LOPDGDD) desenvolupa i completa el RGPD a Espanya, així com el funcionament de l'autoritat de control: l'Agència Espanyola de Protecció de Dades.
Aquest document conté informació sobre el compliment de la legislació vigent sobre protecció de dades personals en el marc dactivitats i serveis de PREVINTEGRAL, i està dirigit a clients i clients potencials de lentitat.
2 – Serveis de PREVINTEGRAL i el seu rolo com a responsable del tractament
Previntegral és un servei de prevenció aliè (SPA) i compta amb mitjans humans i materials, amb l'objectiu de donar suport a la resta a les empreses clients per tal de garantir la protecció adequada de la seguretat i salut dels treballadors.
Des del punt de la legislació de protecció de dades, Previntegral actua en qualitat de responsable del tractament, i està legitimat per tractar les dades segons l'execució del contracte de serveis i el compliment de les seves obligacions legals com a servei de prevenció.
Pel que fa al punt anterior, l'AEPD ha analitzat en diversos dictàmens i guies, si el rol dels serveis de prevenció aliè era el de responsable o encarregat, establiment clarament la figura de responsable per a aquests casos. Com a exemple, vegeu:
Informe 0608/2009 del Gabinet Jurídic de l'AEPD
Informe jurídic 112/2008 del Gabinet Jurídic de l'AEPD
Guia “La protecció de dades en les relacions laborals”, AEPD, maig de 2021, on s'estableix (pàgines 76 i 75):
La condició de responsable del tractament varia segons que es tracti d'un servei de prevenció propi, aliè o mancomunat (…) El servei de prevenció aliè serà responsable del tractament. En aquests supòsits hi ha una separació total entre l'empresa i el servei de prevenció
La relació entre l'empresa i el servei de prevenció requerirà un tractament de dades, en concret comunicacions de dades relatives a les persones treballadores, que no exigeixen el consentiment perquè la base jurídica és una obligació legal, la prevenció de riscos laborals.
En termes similars, també actua com a responsable el servei de vigilància de la salut dels treballadors.
Pels motius anteriors, Previntegral no formalitza un contracte d'encarregat de tractament amb els seus clients, llevat que aquests acreditin de manera motivada i específica aquesta relació d'encarregat, així com els tractaments de dades en qüestió.
3 – Aplicació dels requeriments del RGPD a Previntegral
Previntegral compleix la legislació de protecció de dades, RGPD i LOPDGDD, incloent el següent:
(i) tractament de les dades conforme a les bases legitimadores establertes als articles 6, 9, 10 del RGPD
(ii) procediments per garantir la transparència de la protecció de dades i l'exercici dels drets d'acord amb els articles 13-22 del RGPD.
(iii) assessorament especialitzat per garantir la protecció de dades en el disseny i, per defecte, com s'estableix a l'art. 25 del RGPD.
(v) formalització de contractes d'encarregat del tractament quan correspongui, segons allò establert per l'art. 28 del RGPD.
(vi) registre d'activitats de tractament d'acord amb l'art. 30 del RGPD.
(vii) mesures de seguretat i procediments d'auditoria segons l'article 32 del RGPD.
(viii) procediments per garantir la comunicació de la violació de dades d‟acord amb els articles 33-34 del RGPD. Notificacions a les autoritats de protecció de dades (Autoritat Espanyola de Protecció de Dades) ia les persones les dades de les quals s'hagin vist compromeses per violacions de seguretat de dades (articles 33 i 34 del GDPR) llevat que no hi hagi riscos per a les persones com a conseqüència de tals violacions.
(ix) realització de l'anàlisi de riscos i/o avaluació d'impacte i consultes prèvies segons els articles 25, 35 i 36 del RGPD.
(x) Designació de la funció interna de protecció de dades, amb email de contacte rgpd@previntegral.com
(xi) Les persones autoritzades per tractar dades personals es comprometen, de forma expressa i per escrit, a respectar la confidencialitat de les dades personals ia complir les mesures de seguretat corresponents, de les quals se'ls informa convenientment.
(xii) Responsabilitat proactiva en el compliment de la protecció de dades (art. 5 RGPD)
4 - Punts de contacte en matèria de protecció de dades
Per a qualsevol qüestió en aquesta matèria, contacteu amb rgpd@previntegral.com
5 - Annex Mesures de seguretat aplicades
Seguint l'estricta legislació espanyola i europea de protecció de dades, Previntegral ha implementat les mesures de seguretat següents:
- Política de seguretat de la informació i protocols de seguretat documentats. Previntegral documenta les pràctiques de seguretat i els procediments que ha de seguir el personal.
- Funcions i obligacions del personal: el personal del Previntegral rep la formació necessària en matèria de protecció de dades.
- Gestió d'incidents: els incidents que podrien provocar una violació de dades són gestionats pel departament d'informàtica del grup.
- Identificació i autenticació: procediments didentificació i autenticació basats en contrasenyes o mecanismes similars. Hi ha un procés per assignar, distribuir i emmagatzemar contrasenyes que garanteix la seva confidencialitat, integritat i identificació individual per als usuaris, i el seu emmagatzematge inintel·ligible
- Control d'accés: el personal només està autoritzat a accedir als recursos necessaris per realitzar les vostres tasques. L'accés privilegiat es limita al personal que ho requereix segons les seves funcions.
- Control d'accés físic: la infraestructura que proporciona el servei està allotjada en un espai equipat amb control d'accés i sistemes de monitorització i control per garantir que només les persones autoritzades hi tinguin accés.
- Deure de confidencialitat: obligatori per a tot el personal i per escrit, en relació amb les dades de caràcter personal.
- Administració de dispositius: administració i inventari dels dispositius (ordinadors, dispositius mòbils, etc.) incloent mecanismes de bloqueig l'accés i xifratge de la informació en dispositius mòbils intel·ligents.
- Eliminació de dades: mesures per a la destrucció de documents i suports electrònics.
- Còpies de seguretat i recuperació: còpies de seguretat diàries. Les còpies de seguretat s'emmagatzemen a diferents ubicacions.
- Xifratge en la transmissió de xarxes públiques i sense fil, certificats SSL per al trànsit web amb dades personals i altra informació sensible.