Política de Protección de Datos

Objetivo de nuestra política de protección de datos

Este documento resume nuestra política de protección de datos según las directrices del Reglamento General de Protección de Datos (RGPD).


1. Introducción

1.1 El Reglamento General de Protección de Datos (RGPD) protege los 'derechos y libertades' de las personas físicas en lo que respecta a su información personal, su procesamiento y su almacenamiento.

1.2 Algunas definiciones utilizadas en este documento han sido directamente extraídas del RGPD:

  • Datos personales -- cualquier tipo de información relacionada con una persona física identificada o identificable ya sea directa o indirectamente, como es el caso de los nombres, números de identidad, coordenadas de su localización, etc. o características físicas, mentales, culturas, descriptivas y cualquier otra de carácter similar. 
  • Responsable del tratamiento -- parte encargada, que puede trabajar de forma independiente o en conjunto con otros responsables, de determinar el propósito que hay detrás de la retención y el tratamiento de los datos personales.
  • Interesado/a -- cualquier persona física de la que provenga la información personal con la que cuentan los responsables del tratamiento.


2. Declaración política

2.1 Todos los miembros de intraHouse, al igual que otros socios relacionados con la empresa, están comprometidos a cumplir todas las leyes relevantes según las directrices del RGPD.

2.2 El cumplimiento del RGPD, así como los procesos y procedimientos asociados al mismo, están descritos en las diferentes secciones de esta política.

2.3 El RGPD y esta política son aplicables a todos los tipos de procesamiento de datos que lleve a cabo intraHouse, incluyendo aquellos relacionados con usuarios, clientes, empleados, proveedores, socios y cualquier otra fuente de la que pueda conseguir datos la organización. 

2.4 intraHouse ha establecido objetivos en nombre de la privacidad y la protección de datos que están descritos en las siguientes secciones.

2.5 El Delegado de Protección de Datos (DPD) de intraHouse es el responsable de llevar a cabo cualquier cambio relacionado con las actividades relacionadas con la protección de datos.

  • DPD actual a 10 de mayo de 2018: Kim André Akerø
  • E-mail de contacto: kimandre@intrahouse.com

2.6 Esta política se ejerce sobre todos los miembros, empleados y proveedores externalizados de la organización. Cualquier incumplimiento de esta política será gestionada por el DPD de intraHouse, y, en casos en los que la situación se considere una cuestión criminal, se notificará a las autoridades pertinentes.

2.7 Cualquier proveedor o terceras personas externas que trabajen con o en nombre de intraHouse, y que tienen acceso a datos personales, deben haber leído, entendido y estar dispuestos a cumplir esta Política de Protección de Datos.


3. Cargos y responsabilidades

3.1 intraHouse es un responsable de tratamiento y procesamiento de datos que trabaja bajo el cumplimiento del RGPD.

3.2 La cúpula directiva y todos aquellos que cuentan con puestos de gerencia o supervision en cualquier área de intraHouse son responsables del desarrollo de las buenas prácticas en relación a la protección de datos en la empresa. 

3.3 Nuestro DPD cuenta con un cargo directivo alto que responde directamente al Director General de intraHouse en lo que respecta al trato de información personal dentro de intraHouse y se encarga de asegurar que la organización cumple con todas las buenas prácticas y las leyes relativas a la protección de datos, que incluyen:

3.3.1 desarrollo e implementación del RGPD.

3.3.2 seguridad y gestión de riesgos aplicables al RGPD.

3.4 Nuestro DPD tiene la responsabilidad diaria de asegurarse de que intraHouse cumple el RGPD, en conjunto con otros supervisores de intraHouse que procesan datos personales en sus respectivas áreas de trabajo.

3.5 Nuestro DPD tiene la labor de llevar a cabo procedimientos como el Derecho al Olvido además de ser el contacto principal para ayudar al resto del personal en áreas relacionadas con la protección de datos y su cumplimiento.

3.6 El cumplimiento del RGPD es responsabilidad de todas las personas relacionadas con intraHouse.

3.7 La plantilla de intraHouse recibe formación relacionada con la gestión de datos de forma regular.

3.8 La plantilla tiene la obligación de ofrecer información personal y actualizada sobre sí mismos a intraHouse.



4. Políticas y Procedimientos

4.1 Las políticas y procedimientos de intraHouse están diseñados para que cumplan las directrices del Artículo 5 del RGPD, que se enfoca en el procesamiento de los datos personales de una forma legal, justa y transparente. Se le ofrecerá al interesado una serie de información cuando se aplicable, la cual incluye:

4.1.1 la identidad y los datos de contacto del responsable de la tramitación de la información (intraHouse);

4.1.2 los datos de contacto de nuestro DPD;

4.1.3 el propósito que hay detrás del procesamiento de los datos personales además de las bases legales para ese tratamiento; 

4.1.4 durante cuánto tiempo se almacenarán esos datos personales;

4.1.5 los derechos del interesado a pedir lo siguiente: acceso o eliminación de su información personal, corregir errores en sus datos personales, y revisar el procedimiento que se sigue para la recolección y el almacenamiento.

4.1.6  la intención de transferir los datos personales a un país externo a la Unión Europea.

4.2 Los datos personales solo se pueden recopilar para fines específicos y legítimos, y no se utilizarán para fines distintos a los establecidos.

4.3 Los datos personales deben estar restringidos a lo que es necesario para el procesamiento del servicio.

4.3.1  Nuestro DPD es responsable de garantizar que intraHouse no recopila datos personales innecesarios.

4.3.2  Todos nuestros formularios de recopilación de datos tienen un enlace a nuestra política de privacidad.

4.3.3  Al menos una vez al año, nuestro DPD realiza una Evaluación de Impacto en Protección de Datos (EIPD) de nuestros procesos para garantizar el cumplimiento.

4.4 Consideraciones de mantenimiento de datos personales:

4.4.1  los datos personales solo se almacenan si es necesario.

4.4.2  nuestro personal está capacitado para recopilar datos personales específicos.

4.4.3  el interesado es responsable de proporcionar datos personales precisos y actualizados al rellenar cualquier formulario de intraHouse.

4.4.4  si hay algún cambio relacionado con la información personal almacenada por intraHouse, el interesado debe notificárselo a intraHouse para que se registre el cambio y se actúe de acuerdo a él. 

4.4.5  nuestro DPD responde a las solicitudes de los interesados en un plazo de un mes. Si intraHouse decide no cumplir con una solicitud, el interesado será notificado de la razón.

4.4.6 para asegurarnos de que la información personal de terceras personas es precisa, nuestro DPD es responsable de informarles sobre cualquier cambio en las circunstancias que pueda afectar la precisión del almacenamiento o procesamiento de sus datos personales. 

4.5 Tras el envío de un formulario por parte del interesado, los datos personales que contiene deben guardarse solo el tiempo necesario para un procesamiento seguro.

4.5.1  Cuando corresponda, los datos personales se deben cifrar para proteger la identidad del interesado en caso de una violación de seguridad. 

4.5.2  Los datos personales que se conservan durante el proceso de envío de formularios se deben destruir de forma segura al finalizar el proceso.

4.5.3  El DPD debe justificar y aprobar por escrito aquellos almacenamientos de datos que pueden exceder los períodos legítimos de retención.

4.6 Al evaluar las medidas técnicas apropiadas para controlar o procesar las operaciones de datos personales, el DPD considerará lo siguiente:

  • Protección de contraseña;
  • Derechos de acceso para USB y otros medios de memoria;
  • Derechos de acceso de almacenamiento en la nube en toda la empresa;
  • Software de comprobación de virus y firewalls;
  • Cifrado de dispositivos que salen de las instalaciones de la organización, como los ordenadores portátiles;
  • Seguridad de redes de área local y amplia;
  • Bloqueo automático de terminales inactivos.


5. Interesados

5.1 intraHouse reconoce los derechos del interesado como se expresa en el RGPD y tiene la intención de apoyar plenamente a los interesados en el ejercicio de estos derechos en lo que respecta a los datos personales que están bajo el control de intraHouse o que están siendo procesados por intraHouse.



6. Consentimiento

6.1 intraHouse entiende que el "consentimiento" de un sujeto implica que, una vez el interesado está completamente informado de la operación de procesamiento de datos personales prevista, éste ha consentido libremente a través de una acción afirmativa clara y consciente, de acuerdo con las políticas, términos y condiciones que eso conlleva. 

6.2 El interesado puede retirar su consentimiento en cualquier momento mediante solicitud dirigida al DPD o, cuando corresponda, utilizar un servicio destinado a tal fin. 

6.3 El consentimiento no puede deducirse de la falta de respuesta a una comunicación y, cuando corresponda, intraHouse podrá demostrar que se obtuvo el consentimiento para una operación de procesamiento de datos personales específica.



7. Seguridad de los datos personales

7.1 Todos los datos personales solo pueden ser accesibles para aquellos que están autorizados a usarlos, y el acceso solo puede ser otorgado por el DPD al personal de intraHouse, o a socios de los mismos (bajo la restricción de un contrato de confidencialidad), con causa justificada. De esta forma, todos los datos personales deben tratarse de una forma adecuada:

  • en una habitación con cerradura con acceso controlado; y/o
  • en un cajón cerrado o archivador; y/o
  • si está digitalizado, debe estar protegido con contraseña; y/o
  • almacenado en medios informáticos (extraíbles) cifrados

7.2 Los trabajadores de intraHouse deben tener cuidado para evitar que personal no autorizado vea pantallas que muestren datos personales, además de seguir otras reglas relacionadas con la seguridad.

7.3 Los materiales físicos que muestran datos personales no pueden dejarse donde puedan ser accesibles a personal no autorizado, y no pueden ser retirados de las instalaciones comerciales sin la autorización explícita del DPD.



8. Solicitud formal de datos personales

8.1 Todas las solicitudes formales, como las de organismos judiciales o policiales oficiales, para acceder a datos personales deben estar respaldadas por la documentación correspondiente y todas las divulgaciones deben ser autorizadas específicamente por el DPD.



9. Retención y eliminación

9.1  intraHouse no conservará los datos personales tras el período necesario para llevar a cabo su(s) propósito(s) original(es).

9.2 intraHouse puede almacenar datos durante períodos más largos si los datos personales se procesan únicamente con fines de archivo por interés público, con fines de investigación científica o histórica o con fines estadísticos, siempre que al hacerlo también se protejan los derechos y libertades de los interesados.

9.3 El período de retención para cada activo de información se establecerá en el Registro de las Actividades de Tratamiento (IAR, por sus siglas en inglés) de intraHouse.

9.4 Los datos personales deben desecharse de forma segura y de acuerdo con el RGPD.



10. Transferencia de datos personales

10.1 Todas las exportaciones de datos personales desde el Espacio Económico Europeo (EEE) a terceros países (países no pertenecientes al EEE) son ilegales a menos que exista un nivel adecuado de protección de los derechos de los interesados. La transferencia de datos personales fuera del EEE está prohibida a menos que se apliquen una o más de estas salvaguardas especificadas, o excepciones:

  • Se ha publicado una lista de países externos al EEE que cumplen los requisitos de la Comisión en el Diario Oficial de la Unión Europea. https://ec.europa.eu/info/law/law-topic/data-protection_es
  • Escudo de privacidad: si intraHouse desea transferir datos personales del EEA a una organización en los Estados Unidos, debe verificar que la organización esté registrada con el marco de Privacy Shield en el Departamento de Comercio de EE.UU.
  • Las cláusulas contractuales de intraHouse pueden adoptar que sean aprobadas por una autoridad supervisora.

Excepciones:

  • el sujeto de los datos ha dado su consentimiento legal para llevar a cabo la transferencia de la información;
  • la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable o es necesaria para la aplicación de medidas pre-contractuales adoptadas a petición del interesado;
  • la transferencia es necesaria para la conclusión o ejecución de un contrato realizado en interés del interesado entre el controlador y otra persona física viva;
  • la transferencia es necesaria por razones válidas de interés público;
  • la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamos legales; y/o
  • la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado sea física o legalmente incapaz de dar su consentimiento.


11. Registro de las Actividades de Tratamiento (IAR) 

11.1 intraHouse ha establecido un IAR para gestionar su inventario de datos personales, así como el ciclo de vida de sus activos según lo determinado por:

  • procesos comerciales que usan datos personales;
  • fuente de datos personales;
  • volumen de interesados;
  • descripción de cada elemento informativo;
  • actividad de procesamiento;
  • documenta los fines para los que se utiliza cada categoría de datos personales;
  • destinatarios y destinatarios potenciales de los datos personales;
  • el papel de las partes responsables a lo largo de todo el ciclo de vida de los datos personales;
  • sistemas clave y repositorios;
  • cualquier transferencia de datos; y
  • todos los requisitos de almacenamiento y eliminación.

11.2 Mediante el IAR, toda la plantilla de intraHouse conoce los riesgos asociados con el procesamiento de determinado tipo de datos personales, y puede actuar en consecuencia para proteger mejor las libertades y los derechos de los interesados.

11.2.1 El DPD evalúa, e indica dentro del IAR, los niveles de riesgo de los activos de información en cuestión con el fin de establecer pautas para su gestión según las directrices del RGPD. Las evaluaciones de impacto de protección de datos se realizan en relación con el procesamiento de datos personales que lleva a cabo intraHouse.

11.2.3 El DPD debe aprobar las nuevas tecnologías para el almacenamiento o procesamiento de datos personales mediante la realización de la EIPD.

11.2.4 En el caso de que haya dudas significativas con respecto a un dato en particular basadas en los resultados de un EIPD, ya sea en cuanto al daño potencial, el incumplimiento, la preocupación o la cantidad de datos, el DPD buscará el consejo de un autoridad supervisora.


Efectivo: 05/24/2018


Quieres saber más... Contáctanos