Política de privacidad

Everynet BV

Política de protección de datos (revisada en agosto de 2019)

1. Introducción

Esta Política establece las obligaciones de Everynet BV una empresa registrada en los Países Bajos con el número de comercio 63446529, cuyo domicilio social se encuentra en Whitepark, Poortweg 4-6, 2612 PA, Delft («la Empresa») con respecto a la protección de datos y los derechos de sus clientes, clientes potenciales potenciales, socios tecnológicos y proveedores, con respecto a sus datos personales en virtud del Reglamento de la UE 2016/679 Reglamento General de Protección de Datos («GDPR»).

El RGPD define los «datos personales» como cualquier información relativa a una persona física identificada o identificable (un «interesado»); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

La presente Política establece las obligaciones de la Empresa en materia de recogida, tratamiento, transferencia, almacenamiento y eliminación de datos personales. La empresa, sus empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa deberán seguir en todo momento los procedimientos y principios aquí establecidos.

La empresa está comprometida no sólo con la letra de la ley, sino también con su espíritu, y concede gran importancia al tratamiento correcto, legal y justo de todos los datos personales, respetando los derechos legales, la privacidad y la confianza de todas las personas con las que trata.

2. Los principios de protección de datos

Esta Política tiene por objeto garantizar el cumplimiento del GDPR. El RGPD establece los siguientes principios que debe cumplir cualquier parte que maneje datos personales. Todos los datos personales deben ser:

  • Tratados de forma lícita, leal y transparente en relación con el interesado.
  • Recogidos con fines específicos, explícitos y legítimos y no tratados posteriormente de forma incompatible con dichos fines. El tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
  • Adecuada, pertinente y limitada a lo necesario en relación con los fines para los que se procesa.
  • Precisos y, en caso necesario, actualizados. Deben tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se tratan, se supriman o rectifiquen sin demora.
  • Conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que se tratan los datos personales. Los datos personales podrán conservarse durante períodos más largos en la medida en que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos, siempre que se apliquen las medidas técnicas y organizativas adecuadas exigidas por el RGPD para salvaguardar los derechos y libertades del interesado.
  • Tratados de forma que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, utilizando las medidas técnicas u organizativas apropiadas.

3. Derechos de los interesados

El GDPR establece los siguientes derechos aplicables a los interesados (consulte las partes de esta política indicadas para obtener más detalles):

  • Derecho a ser informado (Parte 12).
  • El derecho de acceso (Parte 13);
  • Derecho de rectificación (Parte 14);
  • Derecho de supresión (también conocido como «derecho al olvido») (Parte 15);
  • Derecho a restringir el tratamiento (Parte 16);
  • Derecho a la portabilidad de los datos (Parte 17);
  • El derecho de oposición (Parte 18); y
  • Derechos con respecto a la toma de decisiones automatizada y la elaboración de perfiles (Partes 19 y 20).

4. Tratamiento de datos lícito, justo y transparente

4.1. El RGPD pretende garantizar que los datos personales se traten de forma lícita, justa y transparente, sin que ello afecte negativamente a los derechos del interesado. El RGPD establece que el tratamiento de datos personales será lícito si se cumple al menos una de las siguientes condiciones:

  • El interesado ha dado su consentimiento al tratamiento de sus datos personales para uno o varios fines específicos;
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte, o para tomar medidas a petición del interesado antes de celebrar un contrato con él;
  • El tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
  • el tratamiento es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento; o
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan sobre dichos intereses derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

4.2. [Si los datos personales en cuestión son «datos de categoría especial» (también conocidos como «datos personales sensibles») (por ejemplo, datos relativos a la raza, etnia, política, religión, afiliación sindical, genética, datos biométricos (si se utilizan con fines de identificación), salud, vida sexual u orientación sexual del interesado), debe cumplirse al menos una de las siguientes condiciones:

  • El interesado ha dado su consentimiento explícito al tratamiento de dichos datos para uno o varios fines específicos (a menos que la legislación de la UE o de los Estados miembros de la UE lo prohíba);
  • El tratamiento es necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito de la legislación sobre empleo, seguridad social y protección social (en la medida en que esté autorizado por la legislación de la UE o de los Estados miembros de la UE o por un convenio colectivo en virtud de la legislación de los Estados miembros de la UE que establezca garantías adecuadas para los derechos e intereses fundamentales del interesado);
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento;
  • El responsable del tratamiento es una fundación, asociación u otro organismo sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y el tratamiento se lleva a cabo en el curso de sus actividades legítimas, siempre que el tratamiento se refiera únicamente a los miembros o antiguos miembros de dicho organismo o a personas que tengan contacto regular con él en relación con sus fines y que los datos personales no se divulguen fuera del organismo sin el consentimiento de los interesados;
  • El tratamiento se refiere a datos personales claramente hechos públicos por el interesado;
  • El tratamiento es necesario para llevar a cabo reclamaciones legales o cuando los tribunales actúan en su capacidad judicial;
  • El tratamiento es necesario por razones importantes de interés público, sobre la base de la legislación de la UE o de los Estados miembros de la UE, que será proporcional al objetivo perseguido, respetará la esencia del derecho a la protección de datos y establecerá medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales del interesado;
  • El tratamiento es necesario para fines de medicina preventiva o laboral, para la evaluación de la capacidad laboral de un empleado, para el diagnóstico médico, para la prestación de asistencia sanitaria o social o tratamiento, o la gestión de sistemas o servicios de asistencia sanitaria o social sobre la base de la legislación de la UE o de los Estados miembros de la UE o en virtud de un contrato con un profesional sanitario, con sujeción a las condiciones y garantías a que se refiere el artículo 9, apartado 3, del RGPD;
  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, por ejemplo, la protección contra amenazas transfronterizas graves para la salud o la garantía de altos niveles de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación de la UE o de los Estados miembros de la UE que establece medidas adecuadas y específicas para salvaguardar los derechos y libertades del interesado (en particular, el secreto profesional); o bien
  • El tratamiento es necesario para fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos de conformidad con el artículo 89, apartado 1, del RGPD basados en el Derecho de la UE o de los Estados miembros de la UE, que serán proporcionados al objetivo perseguido, respetarán la esencia del derecho a la protección de datos y establecerán medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses del interesado].

5. Fines específicos, explícitos y legítimos

5.1. La Empresa recoge y trata los datos personales que se indican en la Parte 21 de esta Política. Esto incluye:

  • Datos personales recogidos directamente de los interesados
  • Datos personales obtenidos de terceros.

5.2. La Compañía solo recopila, procesa y conserva datos personales para los fines específicos establecidos en la Parte 21 de esta Política (o para otros fines expresamente permitidos por el GDPR).

5.3. Los interesados son informados en todo momento de la finalidad o finalidades para las que la empresa utiliza sus datos personales. Consulte la Parte 12 para obtener más información sobre cómo mantener informados a los interesados.

6. Tratamiento de datos adecuado, pertinente y limitado

La Empresa sólo recogerá y tratará datos personales para y en la medida necesaria para el fin o fines específicos de los que los interesados hayan sido informados (o serán informados) según lo dispuesto en la Parte 5, más arriba, y según lo establecido en la Parte 21, más abajo.

7. Exactitud y actualización de los datos

  • La Empresa garantizará que todos los datos personales recopilados, procesados y conservados por ella se mantengan exactos y actualizados. Esto incluye, pero no se limita a, la rectificación de datos personales a petición de un interesado, tal como se establece en la Parte 14, a continuación.
  • La exactitud de los datos personales se comprobará en el momento de su recogida y posteriormente a intervalos regulares. Si se comprueba que algún dato personal es inexacto o está obsoleto, se tomarán sin demora todas las medidas razonables para modificarlo o borrarlo, según proceda.

8. Conservación de datos

  • La Empresa no conservará los datos personales durante más tiempo del que sea necesario a la luz de la finalidad o finalidades para las que dichos datos personales fueron recogidos, conservados y tratados originalmente.
  • Cuando los datos personales dejen de ser necesarios, se tomarán todas las medidas razonables para borrarlos o eliminarlos sin demora.
  • Para obtener información detallada sobre el enfoque de la empresa en materia de conservación de datos, incluidos los periodos de conservación de determinados tipos de datos personales en poder de la empresa, consulte nuestra Política de conservación de datos.

9. Procesamiento seguro

La Empresa garantizará que todos los datos personales recopilados, conservados y tratados se mantengan seguros y protegidos contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales. En las partes 22 a 27 de esta política se ofrecen más detalles sobre las medidas técnicas y organizativas que deberán adoptarse.

10. Rendición de cuentas y mantenimiento de registros

10.1. El responsable de protección de datos de la empresa es Jonathan Pearce (consulte la sección 0 para obtener los datos de contacto)

10.2. El Delegado de Protección de Datos será responsable de supervisar la aplicación de la presente Política y de controlar el cumplimiento de la misma, de las demás políticas de la Empresa relacionadas con la protección de datos y del GDPR y demás legislación aplicable en materia de protección de datos.

10.3. La Empresa mantendrá registros internos por escrito de toda la recogida, conservación y tratamiento de datos personales, que incorporarán la siguiente información:

  • El nombre y los datos de la empresa, de su responsable de protección de datos y, en su caso, de los terceros encargados del tratamiento de datos;
  • Los fines para los que la empresa recopila, conserva y procesa datos personales;
  • Detalles de las categorías de datos personales recopilados, conservados y tratados por la empresa, y las categorías de interesados a los que se refieren dichos datos personales;
  • Detalles de cualquier transferencia de datos personales a países no pertenecientes al EEE, incluidos todos los mecanismos y garantías de seguridad;
  • detalles sobre el tiempo que la empresa conservará los datos personales (consulte la política de conservación de datos de la empresa); y
  • Descripciones detalladas de todas las medidas técnicas y organizativas adoptadas por la empresa para garantizar la seguridad de los datos personales.

11. Evaluaciones de impacto de la protección de datos

11.1. La Empresa llevará a cabo Evaluaciones de Impacto de Protección de Datos para todos y cada uno de los nuevos proyectos y/o nuevos usos de datos personales que impliquen el uso de nuevas tecnologías y el procesamiento involucrado pueda resultar en un alto riesgo para los derechos y libertades de los sujetos de datos bajo el GDPR.

11.2. Las evaluaciones de impacto de la protección de datos serán supervisadas por el responsable de protección de datos y abordarán los siguientes aspectos:

  • El tipo o tipos de datos personales que se recogerán, conservarán y tratarán;
  • Los fines para los que se utilizarán los datos personales;
  • Los objetivos de la empresa;
  • Cómo se utilizarán los datos personales;
  • Las partes (internas y/o externas) que deben ser consultadas;
  • La necesidad y proporcionalidad del tratamiento de datos con respecto a los fines para los que se tratan;
  • Riesgos para los interesados;
  • Los riesgos que se plantean tanto dentro de la empresa como para ella.
  • Medidas propuestas para minimizar y gestionar los riesgos identificados.

12. Mantener informados a los interesados

12.1. La empresa facilitará la información indicada en el apartado 12.2 a todos los interesados:

  • Cuando los datos personales se recojan directamente de los interesados, éstos serán informados de su finalidad en el momento de la recogida; y
  • Cuando se obtengan datos personales de un tercero, se informará a los interesados de su finalidad:
    si los datos personales se utilizan para comunicarse con el interesado, cuando se realice la primera comunicación; o bien
    si los datos personales se van a transferir a otra parte, antes de que se realice dicha transferencia; o bien
    tan pronto como sea razonablemente posible y, en cualquier caso, en el plazo máximo de un mes desde la obtención de los datos personales.

12.2. Se facilitará la siguiente información:

  • Datos de la empresa, incluida, entre otros, la identidad de su responsable de protección de datos;
  • La finalidad o finalidades para las que se recogen y tratarán los datos personales (según se detalla en la Parte 21 de esta Política) y la base jurídica que justifica dicha recogida y tratamiento;
  • En su caso, los intereses legítimos en los que se basa la empresa para justificar la recogida y el tratamiento de los datos personales;
  • Cuando los datos personales no se obtengan directamente del interesado, las categorías de datos personales recogidos y tratados;
  • Cuando los datos personales vayan a transferirse a uno o varios terceros, los datos de dichos terceros;
  • Cuando los datos personales vayan a transferirse a un tercero situado fuera del Espacio Económico Europeo (el «EEE»), los detalles de dicha transferencia, incluidas, entre otras cosas, las salvaguardias establecidas (para más información, véase la parte 28 de la presente Política);
  • Detalles de la conservación de datos;
  • Información detallada sobre los derechos del interesado en virtud del RGPD;
  • Información detallada sobre el derecho del interesado a retirar en cualquier momento su consentimiento al tratamiento de sus datos personales por parte de la empresa;
  • Información detallada sobre el derecho del interesado a presentar una reclamación ante la Oficina del Comisario de Información (la «autoridad de control» con arreglo al RGPD);
  • Cuando proceda, detalles de cualquier requisito u obligación legal o contractual que requiera la recogida y el tratamiento de los datos personales y detalles de las consecuencias de no proporcionarlos;
  • Detalles de cualquier toma de decisiones automatizada o elaboración de perfiles que vaya a tener lugar utilizando los datos personales, incluida información sobre cómo se tomarán las decisiones, la importancia de las mismas y sus posibles consecuencias.

13. Acceso del interesado

  • Los interesados pueden presentar solicitudes de acceso («SAR») en cualquier momento para obtener más información sobre los datos personales que la empresa posee sobre ellos, qué hace con ellos y por qué.
  • Los empleados que deseen presentar una RAS deberán hacerlo utilizando un Formulario de Solicitud de Acceso del Sujeto, enviando el formulario al Responsable de Protección de Datos de la Empresa (véase la sección 0).
  • Normalmente, las respuestas a los ROS se realizarán en el plazo de un mes a partir de su recepción, aunque este plazo podrá ampliarse hasta dos meses si el ROS es complejo y/o se realizan numerosas solicitudes. Si se requiere dicho plazo adicional, se informará al interesado.
  • Todas las denuncias recibidas serán tramitadas por el responsable de protección de datos de la empresa (véase la sección 0).
  • La empresa no cobra comisión alguna por la tramitación de SAR normales. La empresa se reserva el derecho a cobrar tasas razonables por copias adicionales de información que ya se haya facilitado a un interesado, así como por solicitudes manifiestamente infundadas o excesivas, en particular cuando dichas solicitudes sean repetitivas.

14. Rectificación de datos personales

  • Los interesados tienen derecho a exigir a la Empresa que rectifique cualquiera de sus datos personales que sea inexacto o incompleto.
  • La Empresa rectificará los datos personales en cuestión, e informará al interesado de dicha rectificación, en el plazo de un mes desde que el interesado informe a la Empresa del problema. El plazo puede ampliarse hasta dos meses en caso de solicitudes complejas. Si se requiere dicho plazo adicional, se informará al interesado.
  • En caso de que algún dato personal afectado haya sido comunicado a terceros, se informará a éstos de cualquier rectificación que deba hacerse de dichos datos personales.

15. 15. Supresión de datos personales

15.1. Los interesados tienen derecho a solicitar que la empresa elimine los datos personales que posea sobre ellos en las siguientes circunstancias:

  • Ya no es necesario que la empresa conserve esos datos personales con respecto a los fines para los que se recopilaron o trataron originalmente;
  • El interesado desea revocar su consentimiento para que la Empresa conserve y trate sus datos personales;
  • El interesado se opone a que la empresa conserve y trate sus datos personales (y no existe un interés legítimo superior que permita a la empresa seguir haciéndolo) (véase la parte 18 de esta política para obtener más información sobre el derecho de oposición);
  • Los datos personales han sido tratados ilegalmente;
  • Los datos personales deben eliminarse para que la empresa pueda cumplir una obligación legal concreta.

15.2. A menos que la Empresa tenga motivos razonables para negarse a borrar los datos personales, se atenderán todas las solicitudes de supresión y se informará al interesado de la supresión en el plazo de un mes a partir de la recepción de la solicitud del interesado. El plazo puede ampliarse hasta dos meses en caso de solicitudes complejas. Si se requiere dicho plazo adicional, se informará al interesado.

15.3. En caso de que los datos personales que deban suprimirse en respuesta a la solicitud de un interesado hayan sido comunicados a terceros, éstos serán informados de la supresión (a menos que sea imposible o exija un esfuerzo desproporcionado hacerlo).

16. Restricción del tratamiento de datos personales

  • Los interesados podrán solicitar que la empresa deje de tratar los datos personales que posea sobre ellos. Si un interesado presenta dicha solicitud, la Empresa conservará únicamente la cantidad de datos personales relativos a dicho interesado (si los hubiere) que sea necesaria para garantizar que los datos personales en cuestión no se sigan tratando.
  • En caso de que se haya comunicado a terceros algún dato personal afectado, se informará a dichos terceros de las restricciones aplicables a su tratamiento (a menos que sea imposible o exija un esfuerzo desproporcionado hacerlo).

17. Portabilidad de datos

17.1 La Empresa trata los datos personales por medios automatizados, como sistemas informáticos, correo electrónico y otros métodos electrónicos.

17.2. Cuando los interesados hayan dado su consentimiento a la Empresa para procesar sus datos personales de tal manera, o el procesamiento sea necesario de otro modo para la ejecución de un contrato entre la Empresa y el interesado, los interesados tienen derecho, en virtud del GDPR, a recibir una copia de sus datos personales y a utilizarlos para otros fines (a saber, transmitirlos a otros controladores de datos).

17.3. Para facilitar el derecho a la portabilidad de los datos, la Empresa pondrá a disposición de los interesados todos los datos personales aplicables en los siguientes formatos:

  • Por escrito
  • por correo electrónico

17.4. Cuando sea técnicamente posible, si así lo solicita un interesado, los datos personales se enviarán directamente al responsable del tratamiento de datos requerido.

17.5. Todas las solicitudes de copias de datos personales se atenderán en el plazo de un mes a partir de la solicitud del interesado. El plazo puede ampliarse hasta dos meses en caso de solicitudes complejas o numerosas. Si se requiere dicho plazo adicional, se informará al interesado.

18. Objeciones al tratamiento de datos personales

  • Los interesados tienen derecho a oponerse a que la empresa trate sus datos personales basándose en intereses legítimos, marketing directo (incluida la elaboración de perfiles).
  • Cuando un interesado se oponga a que la Empresa procese sus datos personales basándose en sus intereses legítimos, la Empresa cesará inmediatamente dicho procesamiento, a menos que pueda demostrarse que los motivos legítimos de la Empresa para dicho procesamiento prevalecen sobre los intereses, derechos y libertades del interesado, o que el procesamiento es necesario para el desarrollo de reclamaciones legales.
  • Cuando un interesado se oponga a que la Empresa procese sus datos personales con fines de marketing directo, la Empresa pondrá fin inmediatamente a dicho procesamiento.

19. Toma de decisiones automatizada

19.1. La Empresa utiliza datos personales en procesos automatizados de toma de decisiones para referenciar

19.2. Cuando dichas decisiones tengan un efecto jurídico (o de importancia similar) sobre los interesados, estos tienen derecho a impugnarlas en virtud del RGPD, solicitando la intervención humana, expresando su propio punto de vista y obteniendo una explicación de la decisión por parte de la empresa.

19.3. El derecho descrito en el apartado 19.2 no se aplica en las siguientes circunstancias:

  • La decisión es necesaria para la celebración o ejecución de un contrato entre la empresa y el interesado;
  • La decisión está autorizada por la ley; o
  • El interesado ha dado su consentimiento explícito.

20. Perfil

20.1. La Empresa utiliza datos personales para la elaboración de perfiles. Por ejemplo, adaptar los productos y servicios a los requisitos predefinidos de los clientes.

20.2. Cuando se utilicen datos personales con fines de elaboración de perfiles, se aplicará lo siguiente:

  • Se facilitará a los interesados información clara que explique la elaboración de perfiles, incluido su significado y sus posibles consecuencias;
  • Se utilizarán procedimientos matemáticos o estadísticos adecuados;
  • Se aplicarán medidas técnicas y organizativas para minimizar el riesgo de errores. Si se producen errores, estas medidas deben permitir corregirlos fácilmente.
  • Todos los datos personales tratados con fines de elaboración de perfiles se protegerán para evitar los efectos discriminatorios derivados de la elaboración de perfiles (para más información sobre la seguridad de los datos, véanse las partes 22 a 26 de esta Política).

21. Datos personales recogidos, conservados y tratados

La empresa recopila, conserva y procesa los siguientes datos personales (para más información sobre la conservación de datos, consulte la Política de conservación de datos de la empresa):

Necesidad de verificación en relación con el formulario de contacto del sitio web y otras fuentes de datos

Datos Ref.

Tipo de datos

Finalidad de los datos

Cliente 1

Nombre Empresa Contacto

Es necesario identificar y clasificar a los clientes para que reciban las noticias y actualizaciones correctas.

Página web visitada

Interés del producto/servicio

Información de facturación

22. Seguridad de los datos – Transferencia de datos personales y comunicaciones

La Empresa garantizará que se tomen las siguientes medidas con respecto a todas las comunicaciones y otras transferencias que impliquen datos personales:

  • Todos los correos electrónicos que contengan datos personales deben estar encriptados Todos los correos electrónicos que contengan datos personales deben estar marcados como «confidenciales»;
  • Los datos personales sólo pueden transmitirse a través de redes seguras; la transmisión a través de redes no seguras no está permitida en ningún caso;
  • Los datos personales no podrán transmitirse a través de una red inalámbrica si existe una alternativa por cable que sea razonablemente viable;
  • Los datos personales contenidos en el cuerpo de un correo electrónico, ya sea enviado o recibido, deben copiarse del cuerpo de dicho correo y almacenarse de forma segura. El propio correo electrónico debe eliminarse. También deben eliminarse todos los archivos temporales asociados.
  • Cuando los datos personales deban enviarse por fax, el destinatario deberá ser informado con antelación de la transmisión y deberá estar a la espera de la máquina de fax para recibir los datos;
  • Cuando los datos personales deban transferirse en formato impreso, deberán transmitirse directamente al destinatario por correo o entregársele en persona.
  • Todos los datos personales que deban transferirse físicamente, ya sea en formato impreso o en soportes electrónicos extraíbles, se transferirán en un contenedor adecuado marcado como «confidencial».

23. Seguridad de los datos – Almacenamiento

La Empresa garantizará que se tomen las siguientes medidas con respecto al almacenamiento de datos personales:

  • Todas las copias electrónicas de datos personales deben almacenarse de forma segura mediante contraseñas y cifrado de datos;
  • Todas las copias impresas de datos personales, junto con cualquier copia electrónica almacenada en soportes físicos extraíbles, deben guardarse de forma segura en una caja, cajón, armario o similar cerrado con llave;
  • Todos los datos personales almacenados electrónicamente deben ser objeto de copias de seguridad diarias, tanto in situ como externas. Todas las copias de seguridad deben estar encriptadas
  • No debe almacenarse ningún dato personal en ningún dispositivo móvil (incluidos, entre otros, ordenadores portátiles, tabletas y teléfonos inteligentes), tanto si dicho dispositivo pertenece a la empresa como si no, sin la aprobación formal por escrito del responsable de protección de datos de la empresa (véase la sección 0) y, en caso de obtener dicha aprobación, estrictamente de acuerdo con todas las instrucciones y limitaciones descritas en el momento en que se otorga la aprobación, y durante no más tiempo del absolutamente necesario; y
  • Ningún dato personal debe transferirse a ningún dispositivo que pertenezca personalmente a un empleado y los datos personales solo pueden transferirse a dispositivos pertenecientes a agentes, contratistas u otras partes que trabajen en nombre de la Empresa cuando la parte en cuestión haya acordado cumplir plenamente con la letra y el espíritu de esta Política y del GDPR (que puede incluir demostrar a la Empresa que se han tomado todas las medidas técnicas y organizativas adecuadas).

24. Seguridad de los datos – Eliminación

Cuando haya que borrar o eliminar datos personales por cualquier motivo (incluso si se han hecho copias y ya no son necesarias), deben borrarse y eliminarse de forma segura. Para más información sobre la supresión y eliminación de datos personales, consulte la Política de conservación de datos de la empresa.

25. Seguridad de los datos – Uso de datos personales

25.1 La Empresa velará por que se adopten las siguientes medidas en relación con el uso de datos personales:

  • Ningún dato personal podrá compartirse de manera informal y si un empleado, agente, subcontratista u otra parte que trabaje en nombre de la Empresa requiere acceso a cualquier dato personal al que no tenga ya acceso, dicho acceso deberá solicitarse formalmente al Responsable de Protección de Datos de la Empresa (véase la sección 0). No se transferirá ningún dato personal a ningún empleado, agente, contratista u otras partes, tanto si dichas partes trabajan en nombre de la Empresa como si no, sin la autorización del Responsable de Protección de Datos de la Empresa (véase la sección 0). Los datos personales deben tratarse con cuidado en todo momento y no deben dejarse desatendidos ni a la vista de empleados, agentes, subcontratistas, o

25.2 otras partes en cualquier momento;

  • Si se visualizan datos personales en la pantalla de un ordenador y éste va a permanecer desatendido durante algún tiempo, el usuario deberá bloquear el ordenador y la pantalla antes de abandonarlo.
  • Cuando los datos personales en posesión de la Empresa se utilicen con fines de marketing, será responsabilidad del Responsable de Protección de Datos de la Empresa (véase la sección 0) garantizar que se obtiene el consentimiento adecuado y que ningún interesado ha optado por no participar, ya sea directamente o a través de un servicio de terceros.

26. Seguridad de los datos – Seguridad informática

La empresa velará por que se adopten las siguientes medidas en materia de seguridad informática y de la información:

  • Todas las contraseñas utilizadas para proteger datos personales deben cambiarse con regularidad y no deben utilizar palabras o frases que puedan adivinarse fácilmente o ponerse en peligro de otro modo. Todas las contraseñas deben contener una combinación de letras mayúsculas y minúsculas, números y símbolos. Todo el software utilizado por la empresa está diseñado para requerir dichas contraseñas.;
  • Bajo ninguna circunstancia deben anotarse o compartirse contraseñas entre empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa, independientemente de su antigüedad o departamento. Si se olvida una contraseña, debe restablecerse utilizando el método aplicable. El personal informático no tiene acceso a las contraseñas;
  • Todo el software (incluidas, entre otras, las aplicaciones y los sistemas operativos) deberá mantenerse actualizado. El personal informático de la empresa se encargará de instalar todas y cada una de las actualizaciones relacionadas con la seguridad en un plazo no superior a 6 meses desde que el editor o fabricante ponga a disposición las actualizaciones O tan pronto como sea razonable y prácticamente posible.

27. Medidas organizativas

La Empresa garantizará que se tomen las siguientes medidas con respecto a la recogida, conservación y tratamiento de datos personales:

  • Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Empresa serán plenamente conscientes tanto de sus responsabilidades individuales como de las responsabilidades de la Empresa en virtud del GDPR y de esta Política, y se les proporcionará una copia de esta Política;
  • Sólo tendrán acceso a los datos personales que obren en poder de la Empresa los empleados, agentes, subcontratistas u otras partes que trabajen en nombre de la Empresa y que necesiten acceder a los datos personales y utilizarlos para desempeñar correctamente las funciones que se les hayan asignado;
  • Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa y manejen datos personales recibirán la formación adecuada para hacerlo;
  • Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa y manejen datos personales serán supervisados adecuadamente;
  • Se exigirá y animará a todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa y manejen datos personales a que actúen con cuidado, precaución y discreción cuando traten asuntos laborales relacionados con datos personales, ya sea en el lugar de trabajo o de otro modo;
  • Los métodos de recogida, conservación y tratamiento de datos personales se evaluarán y revisarán periódicamente;
  • Todos los datos personales en poder de la Empresa se revisarán periódicamente, tal y como se establece en la Política de Conservación de Datos de la Empresa;
  • Se evaluará y revisará periódicamente la actuación de los empleados, agentes, contratistas u otras partes que trabajen en nombre de la empresa y traten datos personales;
  • Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Empresa que manejen datos personales estarán obligados a hacerlo de acuerdo con los principios del GDPR y esta Política por contrato;
  • Todos los agentes, contratistas u otras partes que trabajen en nombre de la Empresa que traten datos personales deben garantizar que todos y cada uno de sus empleados que participen en el tratamiento de datos personales estén sujetos a las mismas condiciones que aquellos empleados relevantes de la Empresa que surjan de esta Política y del GDPR; y
  • En caso de que un agente, contratista u otra parte que trabaje en nombre de la empresa y maneje datos personales incumpla sus obligaciones en virtud de la presente política, dicha parte indemnizará a la empresa y la mantendrá indemne frente a cualquier coste, responsabilidad, daño, pérdida, reclamación o procedimiento que pueda derivarse de dicho incumplimiento.

28. Transferencia de datos personales a un país no perteneciente al EEE

28.1. La Empresa puede transferir ocasionalmente («transferir» incluye poner a disposición a distancia) datos personales a países fuera del EEE.

28.2. La transferencia de datos personales a un país no perteneciente al EEE sólo tendrá lugar si se da una o varias de las circunstancias siguientes:

  • La transferencia se realiza a un país o territorio, o a uno o varios sectores específicos de ese país (o a una organización internacional), que la Comisión Europea haya determinado que garantiza un nivel adecuado de protección de los datos personales;
  • La transferencia se realiza a un país (u organización internacional) que ofrece garantías adecuadas en forma de acuerdo jurídicamente vinculante entre autoridades u organismos públicos; normas corporativas vinculantes; cláusulas tipo de protección de datos adoptadas por la Comisión Europea; cumplimiento de un código de conducta aprobado por una autoridad de control (por ejemplo, la Oficina del Comisario de Información); certificación en virtud de un mecanismo de certificación aprobado (según lo dispuesto en el RGPD); cláusulas contractuales acordadas y autorizadas por la autoridad de control competente; o disposiciones insertadas en acuerdos administrativos entre autoridades u organismos públicos autorizados por la autoridad de control competente;
  • La transferencia se realiza con el consentimiento informado de los interesados;
  • La transferencia es necesaria para la ejecución de un contrato entre el interesado y la empresa (o para medidas precontractuales adoptadas a petición del interesado);
  • La transferencia es necesaria por razones importantes de interés público;
  • La transferencia es necesaria para llevar a cabo reclamaciones legales;
  • La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento; o
  • La transferencia se realiza desde un registro que, en virtud de la legislación neerlandesa o de la UE, está destinado a proporcionar información al público y que está abierto al acceso del público en general o, de otro modo, a aquellos que puedan demostrar un interés legítimo en acceder al registro.

29. Notificación de violación de datos

29.1 Toda violación de datos personales debe comunicarse inmediatamente al responsable de protección de datos de la empresa.

29.2 Si se produce una violación de los datos personales y es probable que dicha violación suponga un riesgo para los derechos y libertades de los interesados (por ejemplo, pérdidas financieras, violación de la confidencialidad, discriminación, daños a la reputación u otros daños sociales o económicos significativos), el responsable de la protección de datos deberá garantizar que se informa de la violación a la Oficina del Comisario de Información sin demora y, en cualquier caso, en el plazo de 72 horas desde que se tuvo conocimiento de ella.

29.3 En caso de que sea probable que una violación de datos personales suponga un alto riesgo (es decir, un riesgo mayor que el descrito en la parte 29.2) para los derechos y libertades de los interesados, el responsable de la protección de datos deberá garantizar que todos los interesados afectados sean informados de la violación directamente y sin demora indebida.

29.4 Las notificaciones de violación de datos incluirán la siguiente información:

  • Las categorías y el número aproximado de interesados afectados;
  • Las categorías y el número aproximado de registros de datos personales afectados;
  • El nombre y los datos de contacto del responsable de protección de datos de la empresa (u otro punto de contacto donde pueda obtenerse más información);
  • Las consecuencias probables de la infracción;
  • Detalles de las medidas adoptadas o propuestas por la empresa para hacer frente a la infracción, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.

30. Aplicación de la política

La presente Política se considerará efectiva a partir del 25 de mayo de 2018.

Ninguna parte de esta Política tendrá efecto retroactivo y, por lo tanto, sólo se aplicará a los asuntos ocurridos en esta fecha o con posterioridad a la misma.

Esta Política ha sido aprobada y autorizada por:

Nombre: Fabrizio Iacono

Cargo: Director Financiero

Fecha: 15 de febrero de 2023

Plazo de revisión: 15 de febrero de 2024

Firma:

Correo electrónico
fabrizio.iacono@everynet.com

Tel: +44 7920 723590

Dirección: 50 Sloane Avenue, Londres SW3 3DD Reino Unido