Introducción
La Constitución Española, en su artículo 18 garantiza el derecho al honor, la intimidad personal y familiar y a la propia imagen. En particular, en su apartado cuarto, establece la necesidad de proteger estos derechos fundamentales, dentro del ámbito relacionado con el uso de la informática. De esta manera, el artículo 18.4 de nuestra Constitución dispone:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Como consecuencia de este mandato y para desarrollar el contenido del mismo, se promulgó la Ley Orgánica, 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal, coloquialmente conocida como LORTAD.
Posteriormente, se promulgó en el marco de la Unión Europea la Directiva 95/46/CEE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos.
En cumplimiento de esta Directiva, España promulgó la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (coloquialmente conocida como LOPD), y que supuso la transposición de la Directiva 95/46/CE al derecho interno de nuestro país junto con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (coloquialmente conocido como el RDLOPD).
No obstante, para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión Europea, era necesario un reglamento que proporcionase seguridad jurídica y transparencia a los operadores económicos, y ofreciese a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros.
Por ello, fue aprobado y entró en vigor el 25 de mayo de 2016, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
En la actualidad, el vigente Reglamento General de Protección de Datos de la Unión Europea (en adelante RGPD) ha derogado la Directiva 95/46/CEE y es plenamente aplicable para todo el territorio de la Unión Europea de forma directa.
El citado RGPD, en su artículo 24, establece como una obligación de responsabilidad proactiva de VERANDA MEDIA, S.L., en adelante VERANDA, la necesidad de establecer las oportunas políticas de protección de datos, a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado Reglamento.
En la misma línea, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), indica que, los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.
Una de las obligaciones básicas para VERANDA es la formación del personal que participa en las operaciones de tratamiento de los datos y la concienciación de dicho personal en la importancia y necesidad del cumplimiento de la normativa.
Con base en lo anterior y, consciente de la importancia de que el personal conozca la normativa vigente sobre protección de datos, se ha elaborado la presente política y normativa interna en materia de protección de datos de obligado cumplimiento para todos los empleados.
Objeto de la política
La presente política ha sido aprobada por VERANDA y tiene por objeto establecer a nivel corporativo las obligaciones del personal de VERANDA de dar cumplimiento a la normativa de protección de datos de carácter personal en desarrollo y el ejercicio de sus funciones.
Delegación de Protección de Datos
VERANDA dispone de una Delegada de Protección de Datos con dirección electrónica de contacto en dpd@veranda.tv que, entre otras funciones, coopera con las autoridades de control de protección de datos y atiende a las personas interesadas en sus reclamaciones en materia de protección de datos, en particular aquellas que realicen previamente a la presentación de una reclamación ante la autoridad de control.
Principios generales de la protección de datos
Los principios generales que deben gobernar cualquier tratamiento de datos personales que se lleve a cabo por VERANDA, son los siguientes:
Principio de lealtad, que implica cumplir todas las normas de Derecho generales y/o sectoriales aplicables al tratamiento, así como las políticas y normas de VERANDA.
Principio de proporcionalidad, que implica que el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.
Principio de licitud, que implica que, cualquier tratamiento tendrá una base jurídica de entre las siguientes:
- Consentimiento de la persona interesada para el tratamiento de sus datos personales para uno o varios fines específicos;
- Ejecución de un contrato en el que la persona interesada es parte o para la aplicación a petición de este de medidas precontractuales;
- Cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- Protección de los intereses vitales de la persona interesada o de otra persona física;
- Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- Satisfacción de intereses legítimos perseguidos por VERANDA o por un tercero directamente relacionado con VERANDA, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales de la persona interesada que requieran la protección de datos personales.
Principio de transparencia, que implica que la persona interesada será informada del alcance del tratamiento de forma leal, inequívoca, específica y expresa.
Principio de finalidad y limitación de la finalidad, que implica que el tratamiento de los datos siempre se llevará a cabo con fines explícitos, legítimos y específicos.
Principio de compatibilidad, que implica que no se llevarán a cabo tratamientos de datos con fines incompatibles con aquellos que motivaron la recogida de los datos. No se considerarán en todo caso incompatibles los fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.
Principio de minimización de datos, que implica que, los datos sometidos a tratamiento serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados y a los mínimos datos posibles.
Principio de exactitud, que implica que se someterán a tratamiento datos exactos y, si fuera necesario, actualizados; adoptando todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
Principio de limitación del plazo de conservación, que implica que los datos serán mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines del tratamiento para los que fueron recogidos los datos personales.
Principio de integridad, confidencialidad y seguridad, que implica que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Principios de protección de datos desde el diseño y por defecto reduciendo al máximo el tratamiento de datos personales, tanto en relación con (i) la cantidad de datos personales recogidos; (ii) la extensión de su tratamiento; (iii) su plazo de conservación y (iii) su accesibilidad.
Principio de responsabilidad proactiva o diligencia debida, que implica que el responsable y el encargado del tratamiento deben cumplir con los principios antedichos y ser capaces de demostrarlo.
Derechos en materia de protección de datos
Las personas interesadas serán informadas de los siguientes derechos, que, además, serán atendidos y gestionados por VERANDA en la medida en que sean objeto de ejercicio:
Derecho de acceso: que proporcionará a la persona interesada el derecho a obtener de VERANDA confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
- los fines del tratamiento;
- las categorías de datos personales de que se trate;
- los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
- de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
- la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos a la persona interesada, o a oponerse a dicho tratamiento;
- el derecho a presentar una reclamación ante una autoridad de control;
- cuando los datos personales no se hayan obtenido de la persona interesada, cualquier información disponible sobre su origen;
- la existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para la persona interesada. i) Cuando se transfieran datos personales a un tercer país o a una organización internacional, las garantías adecuadas en virtud del artículo 46 del RGPD relativas a la transferencia.
Derecho de rectificación que proporcionará a la persona interesada el derecho a obtener sin dilación indebida de VERANDA la rectificación de los datos personales inexactos que le conciernan y/o a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Derecho de supresión («el derecho al olvido») que proporcionará a la persona interesada el derecho a obtener sin dilación indebida de VERANDA la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
- la persona interesada retire el consentimiento en que se basa el tratamiento, y este no se base en otro fundamento jurídico;
- la persona interesada se oponga al tratamiento por motivos relacionados con su situación particular, y no prevalezcan otros motivos legítimos para el tratamiento, o la persona interesada se oponga al tratamiento con fines de mercadotecnia (publicidad);
- los datos personales hayan sido tratados ilícitamente;
- los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho que se aplique al responsable del tratamiento;
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información cuando la persona interesada era menor.
Derecho a la limitación del tratamiento que proporcionará a la persona interesada el derecho a obtener de VERANDA la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
- la persona interesada impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
- el tratamiento sea ilícito y la persona interesada se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
- el responsable ya no necesite los datos personales para los fines del tratamiento, pero la persona interesada los necesite para la formulación, el ejercicio o la defensa de reclamaciones; d) la persona interesada se haya opuesto al tratamiento basado en motivos relacionados con su situación particular, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los de la persona interesada.
Derecho a la portabilidad de los datos que proporcionará a la persona interesada el derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
- el tratamiento esté basado en el consentimiento, o en un contrato, y
- el tratamiento se efectúe por medios automatizados.
Derecho de oposición que proporcionará a la persona interesada el derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos del responsable o en la satisfacción del interés legítimo del responsable, incluida la elaboración de perfiles. VERANDA dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades de la persona interesada, o para la formulación, el ejercicio o la defensa de reclamaciones.
Este derecho también proporcionará a la persona interesada el derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan con fines de mercadotecnia (publicidad), incluida la elaboración de perfiles relacionada con este fin.
Además, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1 del RGPD, la persona interesada tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles basada únicamente en el tratamiento automatizado, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Los anteriores derechos deberán ser garantizados y además gestionados en la medida en que sean ejercitados por las personas interesadas, teniendo en cuenta para ello, su alcance, particularidades y limitaciones.
La atención y gestión de estos derechos se llevará a cabo a través de la Delegada de Protección de Datos de VERANDA con quien la persona interesada puede contactar a través de dpd@veranda.tv
Prestación de servicios por terceros
Cuando se vaya a realizar un tratamiento por cuenta de VERANDA solo se elegirá un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos de las personas interesadas.
Se prohibirá al encargado del tratamiento recurrir a otro encargado sin la autorización previa por escrito, específica o general, del responsable, informándole de que, en caso de autorización deberá informar al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
Siempre se regulará por escrito la relación con los terceros encargados del tratamiento, mediante un contrato de encargo de tratamiento, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de personas interesadas, y las obligaciones y derechos del responsable.
Registro de Actividades
VERANDA llevará a un registro que contendrá la siguiente información indicada a continuación:
- El nombre y los datos de contacto de VERANDA como entidad responsable y, en su caso, si los hubiera, de terceros corresponsables y del representante del responsable;
- El nombre y los datos de contacto del delegado de protección de datos;
- Los fines del tratamiento;
- Una descripción de las categorías de personas interesadas;
- Una descripción de las categorías de datos personales;
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- Los destinatarios en terceros países u organizaciones internacionales, esto es, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas;
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Medidas de seguridad
Con el objetivo de cumplir los requisitos de seguridad establecidos en el RGPD, VERANDA ha establecido medidas de seguridad para el tratamiento de datos de carácter personal en el desarrollo de sus actividades, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas titulares de los datos.
Dichas medidas son de diversa naturaleza (medidas técnicas, organizativas, documentales, de gestión, de control, de auditoría, documentales y disciplinarias) todas ellas destinadas a alcanzar nivel de seguridad adecuado al riesgo de los tratamientos y en particular a garantizar:
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y
- resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Las medidas se han implantado evaluando en particular los riesgos que pueden presentar los tratamientos de datos como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Entre las medidas de seguridad se destacan las políticas de seguridad establecidas para los empleados así como su compromiso de confidencialidad y deber de secreto de la información.
Deber de secreto
Un principio básico y personal para toda persona que intervenga en el tratamiento de datos personales es su obligación de secreto profesional respecto de dichos datos y su deber de guardarlos, subsistiendo dichas obligaciones aún después de finalizar sus relaciones con VERANDA o, en su caso, con el encargado del tratamiento.
Por lo tanto, no debe revelarse bajo ningún concepto información de carácter personal a terceras personas distintas de la persona interesada, aun cuando exista vínculo de parentesco (ni si quiera verbalmente), salvo que se establezca por Ley o por expresa autorización de la persona interesada.
Movimiento internacional de datos personales
Cualquier departamento que necesite transferir datos de carácter personal fuera del Espacio Económico Europeo, lo consultará previamente con dpd@veranda.tv
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, tanto VERANDA como los responsables y el encargados del tratamiento que intervengan en la transferencia, cumplen las condiciones establecidas en el RGPD, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.
Consultas
Cualquier consulta o sugerencia en relación con la presente política, podrá ser consultada a VERANDA a través de dpd@veranda.tv .