POLÍTICA DE PRIVACIDAD

Siguiendo las directrices de la Guía de Protección de Datos por Defecto publicada por la Agencia Española de Protección de datos en el mes de octubre de 2020, y en cumplimiento del segundo apartado del artículo 25 del RGPD, corresponde al responsable del tratamiento la implantación de las medidas de protección de datos por defecto.

“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.

La normativa aplicable en materia de protección de datos se muestra flexible a la hora de seleccionar las medidas para garantizar el cumplimiento de la misma, pudiendo optar por diferentes alternativas. Aunque el riesgo del tratamiento para los derechos y libertades sea escaso, no se debe ignorar la elección de medidas concretas de seguridad que se han de implementar por parte del responsable del tratamiento.

El RGPD exige al responsable del tratamiento la configuración por defecto de tratamientos de datos personales que sean respetuosos con los principios de protección de datos personales, garantizando un tratamiento lo menos intrusivo posible. Mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.

A continuación, se establecen una serie de medidas que deberán adoptarse por defecto en la empresa.

  • Cantidad de datos personales recogidos: Esta serie de medidas implican factores cualitativos y cuantitativos de los datos personales. Siguiendo las directrices de la AEPD, el responsable del tratamiento deberá considerar el volumen de datos personales tratados, el nivel de detalle, las diferentes categorías, la sensibilidad (categorías especiales de datos) y los tipos de datos personales requeridos y necesarios para llevar a cabo una operación de tratamiento. Las medidas aplicables son las siguientes:
    • Captación de datos estrictamente necesarios.
    • Graduación de la extensión de los datos recogidos en función de los casos de uso.
    • Utilizar mecanismos de recogida escalonada de información necesaria para el tratamiento. Es decir, retrasar la recogida de datos hasta la fase en la que sean estrictamente necesarios.
    • Alternativas y voluntariedad en la información de contacto reclamada al usuario: e-mail, postal, teléfono, etc.
    • Generalizar los datos: emplear por ejemplo rangos de edad en lugar de la edad concreta.

 

  • La extensión del tratamiento: Los tratamientos de datos personales se limitarán a lo estrictamente necesario para cumplir con la finalidad oportuna. Las medidas a implementar son:
    • Posibilitar los ejercicios de derechos de oposición, limitación o supresión.
    • Minimizar la cantidad de copias temporales que se generen y reducir al máximo los tiempos de conservación, las transferencias y comunicaciones.
    • Seudonimización atendiendo a las operaciones de tratamiento que puedan existir.
    • Procesamientos de carácter local y aislado.
    • Configuración del tratamiento para perfilado o decisiones automáticas (para el caso en el que se empleen este tipo de cookies).
    • Posibilidad de configurar todas las operaciones optativas de tratamientos para finalidades no imprescindibles. Por ejemplo, tratamiento de datos para mejora del servicio, análisis de uso, personalización de anuncios, etc. (para el caso en el que se empleen cookies de análisis comportamental).
    • El periodo de conservación: Si un dato personal no se necesita después de ejecutar una fase del tratamiento, deberá ser suprimido. Las medidas a aplicar son:
    • Configuración de borrado de datos de sesión tras su cierre (para el caso de las cookies de sesión).
    • Plazos de conservación limitados de perfiles de usuarios.
    • Configuración de la gestión de copias temporales.
    • Control del borrado de copias temporales.
    • Eliminación de los datos del titular al ejercer el derecho al olvido.
    • Establecer mecanismos de bloqueo de datos y borrado.
    • Configuración de plazos de conservación de datos de compra de productos.
    • Mecanismos de anonimización de los datos cuando sea oportuno.

 

  • La accesibilidad de los datos: El responsable del tratamiento deberá establecer quién puede acceder a los datos personales. Deberá limitar la accesibilidad de los datos personales. Las medidas a aplicar son las siguientes.
    • Identificación sobre la información del interesado que se muestra a terceros. Por ejemplo, divulgación selectiva de elementos de CV, de la historia clínica, etc.
    • Política de gestión de accesos en la que se especifican los datos a los que puede acceder cada usuario con acceso a datos personales.
    • Definición y configuración de los perfiles de acceso y asignación granular de privilegios.
    • Bloqueos automáticos de sesión.
    • Asignación de perfiles de acceso a los datos de acuerdo con los roles de los usuarios.
    • Diseño de espacio de trabajo (zonas aisladas de entrevista, ficheros físicos no accesibles, carpetas no trasparentes, pantallas no expuestas a terceros cascos para los teléfonos, políticas de mesas limpias. etc.
    • En su caso, prohibición de impresión.
    • Control del borrado de salidas de impresión.
    • Retención o eliminación de la información de sesión, en aplicaciones, sistemas compartidos, comunicaciones o sistemas proporcionados al empleado.
    • Sistemas de anomización y/o seudonimización de textos a difundir cuando sea oportuno.
    • Parámetros de gestión de elementos de conectividad de los dispositivos (Wifi, Bluetooth, etc.).
    • Medidas técnicas para revisión y filtrado de información que se va a hacer pública.
    • Controles de accesibilidad al contenido del usuario en redes sociales.
    • Histórico sobre los últimos cambios llevados a cabo y el perfil que ha realizado el cambio.
    • Histórico de perfiles y entidades que han accedido a la información.
    • Opciones de elección respecto a dónde se almacenan los datos personales, ya sea en dispositivos locales o remotos, en este último caso, otros parámetros como encargados o países.
    • Facilitar el derecho al olvido de los titulares.
    • Configuración de la recepción de avisos cuando la información se está haciendo accesible a terceros.
    • Configurar sistemas de alerta por acceso anómalos a los datos.
    • Trazabilidad de la comunicación entre responsables, encargados y subencargados.