Política de Protección de Datos

I.Introducción

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental establecido en el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea, así trasladado en el artículo 18.4 de la Constitución Española que establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

CASTOLIN IBÉRICA, S.L.U. (en adelante, CASTOLIN), en el marco de su compromiso en materia de cumplimiento normativo, aprueba la presente POLÍTICA DE PROTECCION DE DATOS, en adelante, la Política, en la que desarrolla las normas y principios de conducta que deben servir de guía a los profesionales de CASTOLIN, en relación con la protección de datos de carácter personal de acuerdo con la legislación vigente.

 

II.Objeto

Esta Política pretende dar a conocer a los profesionales de CASTOLIN la normativa de aplicación en materia de protección de datos y, en especial, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).

Las reglas de actuación contenidas en esta Política serán de aplicación en el contexto del trabajo desempeñado por los profesionales de CASTOLIN y tendrán como objetivo la protección de los datos de carácter personal, tanto de los profesionales como de todos los terceros (proveedores, clientes, representantes de administraciones públicas, etc.) que se relacionan con CASTOLIN.

Las reglas recogidas en esta Política son pautas de obligado cumplimiento por todos los profesionales de CASTOLIN que, además, deberán emplear sus mejores esfuerzos para asegurarse de que las mismas se respetan.

Las reglas contenidas en la presente Política se verán complementadas con lo dispuesto en el Manual de Funciones y Obligaciones / MANUAL DE USUARIO DE PROTECCION DE DATOS Y SEGURIDAD DE LA INFORMACIÓN destinado al personal de CASTOLIN.

 

III.Ámbito de aplicación

La presente Política se aplica al tratamiento total o parcialmente automatizado o no automatizado de datos personales en el entorno de las actividades desarrolladas por CASTOLIN.

Por otro lado, esta Política se aplica a todos los profesionales de CASTOLIN, independientemente de su posición jerárquica en el seno de la organización o de su cualificación profesional o la tipología de su relación con CASTOLIN.

Presencia internacional: CASTOLIN tiene una importante presencia internacional por lo que las sociedades, filiales o delegaciones ubicadas fuera de España y de la Unión Europea, habrán de cumplir asimismo con la legislación nacional en materia de protección de datos en caso de existir.

 

IV. Principios

El Capítulo II del RGPD establece los principios que rigen la protección de datos y que, por lo tanto, forman la base de la presente Política:

Principio de “licitud, lealtad y transparencia”

CASTOLIN tratará los datos personales de manera lícita, leal y transparente, es decir, se informará al interesado acerca del tratamiento de sus datos y las finalidades específicas, ofreciéndole toda la información adicional que sea necesaria.

Las personas físicas serán informadas de que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.

Los datos personales se tratarán de un modo que garantice una seguridad y confidencialidad adecuadas, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

No se tratarán datos personales sin el consentimiento del interesado o conforme a las reglas generales de la legislación aplicable.

CASTOLIN no recabará ni tratará datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física, salvo que dicha recogida y el posterior tratamiento fueran necesarios, legítimos u obligatorios o permitidos por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en aquella.

Principio de “limitación de la finalidad”

Los datos personas tratados por CASTOLIN serán siempre recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con los mismos; salvo que se traten en el futuro con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

Principio de “minimización de datos”

CASTOLIN tratará únicamente aquellos datos personales que resulten estrictamente necesarios para la finalidad para los que se recogieron, es decir, serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Principio de “exactitud”

CASTOLIN velará porque los datos personales tratados sean exactos y estén actualizados, adoptando para ello aquellas medidas razonables para que se supriman o rectifiquen cuando se detecte que son inexactos con respecto a los fines para los que se recogieron.

Principio de “limitación del plazo de conservación”

CASTOLIN no conservará los datos personales que trate más allá del tiempo necesario para los fines para los que se recogieron, salvo obligación legal o si se conservan con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Principio de “integridad y confidencialidad”

CASTOLIN procurará garantizar la integridad y confidencialidad de los datos personales tratados, aplicando medidas técnicas u organizativas para protegerlos de tratamientos no autorizados o ilícitos, contra su pérdida, destrucción o daño accidental.

 

V.La responsabilidad proactiva

CASTOLIN se compromete al cumplimiento de los principios arriba enumerados aplicando la debida diligencia y debiendo ser capaz de demostrar dicho cumplimiento aplicando una “responsabilidad proactiva” que se traduce en:

Evaluación o análisis de riesgos

El responsable del tratamiento está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con la legislación aplicable, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Para ello, CASTOLIN realizará una evaluación o análisis del riesgo de los tratamientos que realice, con el fin de ponderar sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo y si este es alto, determinando así que las medidas aplicadas sean conformes a las obligaciones legales.

Evaluación de impacto

CASTOLIN realizará evaluaciones de impacto en aquellos casos previstos en la legislación aplicable, esto es, cuando exista una probabilidad de que un determinado tratamiento y, de manera particular si se utilizan nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas. La probabilidad de que el tipo de tratamiento entrañe riesgos se valorará atendiendo a los siguientes criterios: su naturaleza, su alcance y el contexto o los fines del tipo de tratamiento. La evaluación de impacto incluirá, en particular, las medidas, las garantías y los mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con la legislación aplicable.

Para ello, se habrán de seguir las pautas e instrucciones establecidas en el correspondiente procedimiento interno.

Registro de actividades de tratamiento

CASTOLIN, tanto cuando actúe como responsable de tratamiento como cuando actúe como encargado de tratamiento de algunos de sus clientes, mantendrá registros de las actividades de tratamiento bajo su responsabilidad.

Brechas de seguridad

En caso de que se produzca una incidencia en el tratamiento de los datos personales de los que sea responsable CASTOLIN y que pueda suponer un daño o perjuicio físico, material o inmaterial para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo para la persona física titular de los datos personales, se seguirán las pautas y normas internas establecidas en CASTOLIN para la gestión de las llamadas Violaciones o Brechas de Seguridad.

Responsable de Protección de Datos

Cuando se trate de un caso previsto en la legislación aplicable, CASTOLIN designará la figura del delegado de protección de datos.

En el resto de los casos en los que no sea obligatoria la designación de este delegado, las funciones de seguimiento, control e implementación recaerán en la figura del Responsable de Protección de Datos.

 

VI.Derechos de los interesados

CASTOLIN se compromete a facilitar al interesado el ejercicio de sus derechos reconocidos por la legislación aplicable:

  • Derecho de acceso;
  • Derecho de rectificación;
  • Derecho de supresión (derecho al olvido);
  • Derecho a la limitación del tratamiento;
  • Derecho a la portabilidad de los datos;
  • Derecho de oposición y a no ser objeto de decisiones individuales automatizadas.

Para ello, se seguirán las pautas y normas establecidas en los procedimientos internos que regulan el ejercicio de derechos de los interesados.

 

VII.Encargados del tratamiento

CASTOLIN dispone de procedimientos internos de contratación que regulan y establecen las medidas concretas a tomar respecto de la contratación de los servicios de proveedores que accedan a datos ocupando la figura de encargados de tratamiento, así como respecto de aquellos proveedores que, sin ser encargados de tratamiento, podrían acceder de forma accidental o accesoria a datos personales responsabilidad de CASTOLIN. La prestación de estos servicios se regulará en los correspondientes contratos de tratamiento de datos o incluyendo clausulas ad hoc en el contrato principal del servicio.

 

VIII.Transferencias internacionales de datos

Actualmente, CASTOLIN no realiza tratamientos de datos que conlleven una transferencia internacional de datos a terceros Estados que no ofrezcan la misma seguridad que los Estados miembros de la Unión Europea o aquellos reconocidos por la Comisión como destino seguro. En caso de que esto se produjera, CASTOLIN velará porque todo tratamiento que comporte una transferencia de datos fuera de la Unión o a países que no dispongan de un nivel adecuado de protección de datos, se realice cumpliendo con los requisitos establecidos en la legislación aplicable.

 

IX.Implementación: el Sistema de Gestión de Protección de Datos

Siguiendo los principios y normas incluidos en esta Política, CASTOLIN desarrollará los oportunos procedimientos internos, o cualquier otro documento de apoyo interno, que permitan la implementación de la legislación aplicable formando así un Sistema de Gestión de Protección de Datos. Dichos procedimientos o documentos de apoyo serán de obligado cumplimiento para todos los profesionales de CASTOLIN.

El delegado de protección de datos o el Comité de Seguridad, según sea el caso, será responsable de vigilar el cumplimiento e implementación del citado Sistema de Gestión de Protección de Datos coordinando en todo momento con los responsables de filiales o delegaciones.

 

X.Control y evaluación

El Sistema de Gestión de Protección de Datos se habrá de controlar y evaluar de forma periódica. Para ello, se realizarán, bajo la dirección y supervisión del Responsable de Protección de Datos, una auditoria periódica del cumplimiento de lo dispuesto en esta Política y en la legislación aplicable en general.

Por otro lado, Auditoria Interna, en el marco de su planificación anual de revisión de todos los sistemas de CASTOLIN, incluirá un apartado especifico en materia de protección de datos con el fin de controlar el cumplimiento de la normativa a aplicable en las filiales y delegaciones que visite.

Los resultados obtenidos de las diferentes auditorias y demás controles serán reportados al órgano de gobierno, en concreto, al Consejo de Administración.

 

XI.Publicidad

La Política de Protección de Datos estará disponible como información documentada, se comunicará a todos los interesados y profesionales de CASTOLIN que lo hayan de respetar e implementar. Asimismo, estará disponible a través del portal de Transparencia en la página web.