DATA MAPPING

BVTEX, S.L. – 30 de mayo de 2018

1.- DEFINICIONES

«datos personales»:

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

«tratamiento»:

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

«limitación del tratamiento»:

El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

«elaboración de perfiles»:

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

«seudonimización»:

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

«fichero»:

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

«responsable del tratamiento» o «responsable»:

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

«encargado del tratamiento» o «encargado»:

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

«destinatario»: La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

«tercero»: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
«consentimiento del interesado»:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta,

ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

«violación de la seguridad de los datos personales»:

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

«datos genéticos»:

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

«datos biométricos»:

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

«datos relativos a la salud»:

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

«establecimiento principal»:
1. En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
2. En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;
«representante»:

Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

«empresa»:

Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

«grupo empresarial»:

Grupo constituido por una empresa que ejerce el control y sus empresas controladas;

«normas corporativas vinculantes»:

Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta; ,

«autoridad de control»:

La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

«autoridad de control interesada»:

La autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de

control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control;

«tratamiento transfronterizo»:

El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado

«objeción pertinente y motivada»:

La objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable

o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

«servicio de la sociedad de la información»:

Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);

«organización internacional»:

Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

2.-OBJETO DEL INFORME DE DATA MAPPING

El Reglamento General de protección de datos de la UE 2016/679 (RGPD) indica que las organizaciones que recaban y/o realizan actividades de tratamiento de datos personales, deberán implementar las medidas técnicas y organizativas necesarias a fin de garantizar la protección de los mismos, la privacidad y los derechos y libertades de las personas titulares de dichos datos personales.

El artículo 4.1 del RGPD da la definición de «datos personales»:

Lo anteriormente expuesto requiere que las organizaciones de control de datos identifiquen y comprendan bien la trazabilidad de sus actividades de procesamiento. Esto significa que las organizaciones tendrán que comprender, no sólo cómo y dónde se están utilizando y transmitiendo los datos, sino también dónde se almacenan. En términos de detección de datos, la acción de procesamiento debe ser mapeada a un sistema que registre todos los datos, actividades, recursos, personal y organizaciones implicadas.

El artículo 4.3 del RGPD define el «tratamiento» o procesamiento de datos como:

Y hay artículos en el RGPD que se refieren específicamente a la necesidad de inventariar los datos personales:

Capítulo 2 (Principios), Sección 3 (Rectificación y borrado):

Artículo 17 (Derecho de supresión / “derecho al olvido”): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales.

Artículo 20: (Derecho a la portabilidad de los datos): El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado

Los artículos anteriores se refieren a algunos de los derechos que tienen los titulares de los datos respecto al uso y tratamiento que la organización de control o procesador realiza sobre ellos. Cualquier solicitud de acceso a datos sujetos significará que las organizaciones controladoras de los datos deben responder de manera oportuna (a menos de un mes desde la recepción de la solicitud). Con el fin de hacer esto, las organizaciones deben saber dónde está ubicada la información, o ser capaz de encontrarla rápidamente a través de su infraestructura.

Capitulo 4 (Controlador y procesador), Sección 1 (Obligaciones generales):

Artículo 24.1: (Responsabilidad de la organización de control): Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

El artículo anterior explica que los controladores tienen que garantizar la supervisión del tratamiento lícitu de los datos personales (que incluye el almacenamiento de estos datos), a través de medidas técnicas y organizativas. Disponer de un inventario actualizado de datos puede ser una forma efectiva de mantener esta visibilidad y garantías.

Además, el Capítulo 5 (artículos 44-50) se centran en las “Transferencias de datos personales a terceros países u organizaciones internacionales”. Esta sección explica las condiciones que se deben cumplir para que los datos personales puedan ser transferidos o procesados fuera de la UE, incluído el artículo 46 (Transferencias sujetas a garantías apropiadas).

Las organizaciones con relaciones con proveedores fuera de la UE, donde los datos pueden ser procesados, tendrán que supervisar estas relaciones y llevar a cabo la diligencia debida para garantizar que estas relaciones o transferencias de datos no violan la regulación de la UE y no ponen los datos privados en situación de riesgo. Por lo tanto, las organizaciones deben asegurarse de identificar los datos que estan ubicados en terceros países y que tipo de actividades de tratamiento y prácticas comerciales se realizan sobre los mismos.

Las organizaciones modernas internacionales y las demanda de globalización han dado lugar a una evolución de la infraestructura de Transferencias Internacionales, ya sea a través de un empleo cada vez mayor de dispositivos móviles para el desempeño del trabajo, o la adopción de infraestructuras en la nube, lo que deriva en que en la actualidad, los datos están más distribuidos que nunca. Esto significa que un inventario de datos supone más que un reto, pues se deberá ser capaz de identificar los riesgos derivados de la contratación de prestación de servicios a terceras organizaciones y los servicios de sincronización y de compartir archivos.

Las organizaciones no sólo tendrán que hacer un inventario de datos de carácter personal operativo, sino que debe tomar parte proactiva en el inventario de datos personales como parte de la fase de preparación o planificación para evaluar el alcance del esfuerzo y los recursos necesarios para llevar a cabo el cumplimiento del RGPD, por lo que las organizaciones deben ser capaces de comprender el alcance de sus flujos y procesos de datos.

El objetivo de este Data Mapping es ofrecer un inventario de todos los datos tratados por la organización, las actividades de tratamiento realizadas sobre tales datos, los puntos de control utilizados para recabar, manipular y almacenarlo, el personal involucrado en el tratamiento, así como las organizaciones de control implicadas en cualquiera de estos procesos.

3.- RESPONSABLE DEL TRATAMIENTO DE DATOS

El artículo 4.7 del RGPD define como «responsable del tratamiento» o «responsable»:

A continuación se detallan los datos identificativos y de contacto del Responsable del Tratamiento de datos personales VIBE IMPRESSIO:

IDENTIFICACIÓN

RAZON SOCIAL:	BVTEX, S.L.
NOMBRE COMERCIAL:	VIBE IMPRESSIO
IDENTIFICACIÓN:	CIF B59192237
ACTIVIDAD:	POR DEFINIR / POR DEFINIR / POR DEFINIR
REPRESENTANTE:	CARME VIZUETE VERMEJO, 43407667C (ADMINISTRADORA)

DATOS DE CONTACTO Y DIRECCIÓN

TELÉFONO:	934156950
EMAIL:	presupuestos@vibeimpressio.com
WEB:	https://www.vibeimpressio.com/
DIRECCIÓN FISCAL:	CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España
DIRECCIÓN SOCIAL:	CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España
DIRECCIÓN POSTAL:	CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España

4.- CORRESPONSABLES DEL TRATAMIENTO

Cuando una o más organizaciones determinan los fines y medios del tratamiento; todas y cada una de ellas serán consideradas como Corresponsables del Tratamiento y tendrán las mismas obligaciones y responsabilidades que el Responsable del Tratamiento principal VIBE IMPRESSIO.

En caso de que el tratamiento de los datos se realizase por un grupo de empresas o grupo corporativo, continuación se detallan los datos identificativos y de contacto de los Corresponsables del Tratamiento de datos personales (si no existen corresponsables, no aparecen):

5.- AUTORIDAD DE CONTROL

A continuación se detallan los datos de identificación y de contacto de la Autoridad de Control:

AUTORIDAD:	Agencia Española de Protección de Datos
TELÉFONO:	912663517
EMAIL:	info@agpd.es
WEB:	https://www.agpd.es
DIRECCIÓN:	C/. Jorge Juan, 6. 28001, Madrid (Madrid), España

¿Qué es una Autoridad de Control?

El artículo 4.21 del RGPD define como «autoridad de control»: La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51:

La «autoridad de control» se encarga de supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión

Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión.

Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité.

Cada Estado miembro notificará a la Comisión las disposiciones legales que adopten y que sean asignadas a las Autoridades de Control de su

¿Cuáles son las funciones de la Autoridad de Control?
Cada Autoridad de control dispondrá de las siguientes funciones:

Funciones que afectan al interesado:

Facilitar información al interesado de los derechos que le otorga el Reglamento.

Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación.

Resolver las reclamaciones presentadas por un interesado.

Funciones que afectan al Responsable y al Encargado del tratamiento:

Recibir las notificaciones de violaciones de seguridad del Responsable del tratamiento y, si procede, exigir su comunicación al interesado.

Adoptar cláusulas contractuales tipo de protección de datos para la formalización de contratos entre el Responsable y el Encargado del tratamiento.

Realizar transferencias internacionales de datos mediante garantías adecuadas.

Autorizar las cláusulas contractuales establecidas entre el Responsable del tratamiento, Encargado del tratamiento o Destinatarios para realizar transferencias internacionales de datos.

Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de impacto y de los detalles que se deben incluir en su documentación.

Asesorar al Responsable o al Encargado del tratamiento del procedimiento para realizar una consulta previa a la Autoridad de control y, cuando ésta se haya producido y no sea conforme al Reglamento, comunicárselo por escrito en un plazo máximo de 8 semanas.

Funciones que afectan a las garantías de cumplimiento:

Establecer los requisitos de certificación y expedir los mecanismos de certificación, sellos y marcas de protección de datos a los Responsables o Encargados del tratamiento que lo soliciten y renovarlos o retirarlos a su vencimiento.

Elaborar y publicar los criterios para la acreditación de un organismo de certificación o de supervisión de códigos de conducta y expedir la acreditación a tales organismos.

Emitir un dictamen y aprobar los proyectos de códigos de conducta presentados por asociaciones y organismos que representen a categorías de Responsables o Encargados del tratamiento.

Aprobar las normas corporativas vinculantes solicitadas por grupos empresariales o por la unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.

6.- DELEGADO DE PROTECCIÓN DE DATOS O RESPONSABLE DE SEGURIDAD

A continuación se detallan los datos de identificación del DPO o del Responsable de Seguridad de VIBE IMPRESSIO, así como sus datos de contacto:

IDENTIFICACIÓN

DESIGNACIÓN:	Responsable de seguridad
ENTIDAD:	BVTEX, S.L. – CIF B59192237
REPRESENTANTE:	CARME VIZUETE VERMEJO, 43407667C (ADMINISTRADORA)

CONTACTO Y DIRECCIÓN

TELÉFONO:	934156950
EMAIL:	presupuestos@vibeimpressio.com
DIRECCIÓN:	CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) ha impulsando, junto con Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

Entre las funciones más relevantes que debe ejercer el DPO, están las siguientes:

Informar, asesorar y sensibilizar al responsable de la empresa y a sus trabajadores de las obligaciones que deben cumplir, en particular en relación a las medidas técnicas y organizativas de seguridad respecto de los datos personales que tratan de sus clientes, trabajadores… y documentarlo.

Supervisar la implementación y aplicación de las políticas de la empresa en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación de los trabajadores y las auditorías

Supervisar la implementación y aplicación de la normativa, en particular por lo que hace referencia a los requisitos relativos a la protección de datos desde el diseño, es decir, la protección de datos por defecto y la seguridad de los

Atender las peticiones de información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos de conformidad con la legislación de protección de
Velar por la conservación de la documentación que contenga datos

Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la

Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte de la empresa y la presentación de solicitudes de autorización o consultas previas, si fueran necesarias de conformidad con el

Supervisar la respuesta a las solicitudes de la Agencia Española de Protección de Datos y cooperar con la misma a solicitud de ésta o a iniciativa

Actuar como punto de contacto para la Agencia Española de Protección de Datos (autoridad de control) sobre las cuestiones relacionadas con el tratamiento y consultar con la misma, si procede, a iniciativa

Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la Agencia Española de Protección de

7.- PROCEDIMIENTO DE EJERCICIO DE DERECHOS DE LOS INTERESADOS

La normativa de protección de datos RGPD otorga a los ciudadanos el control sobre el uso que hacen las compañias respecto a la información que está directamente viculadas a ellos y les otorga ocho derechos específicos.

La información de contacto para ejercer tales derechos ante el Responsable del Tratamiento VIBE IMPRESSIO es la siguiente:

Responsable: BVTEX, S.L.

Dirección: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Teléfono: 934156950

E-mail: presupuestos@vibeimpressio.com Página web: https://www.vibeimpressio.com/

A continuación se detallan los derechos individuales garantizados por el RGPD, explicando lo que significan en la práctica para el ciudadano y qué ha hecho la organización para atender el ejercicio de tales derechos conforme a la legislación:

DERECHO DEL CIUDADANO

ARTÍCULO GDPR

QUE SIGNIFICA PARA EL CIUDADANO

QUE SE HA IMPLEMENTADO EN LA ORGANIZACIÓN

Derecho a estar informado

Art. 12, 13,

Antes de que sus datos sean recabados, el ciudadano tiene derecho a conocer cómo serán recogidos, procesados, almacenados y con qué propósitos.

Se han creado políticas de información de fácil lectura indicando los datos recogidos y tratados, finalidades, bases legales, posibles cesiones y transferencias internacionales, derechos, etc. Dicha información se da antes de recabar los datos.

Derecho de acceso	Art. 12, 15	El ciudadano tiene derecho a conocer cómo los datos existentes han sido recabados, procesados, almacenados y qué actividades y finalidades se realizan con ellos	Se ha implementado un sistema para realizar un seguimiento de la información de los ciudadanos, revisar y resolver las solicitudes de accesos y comunicar la resolución al ciudadano en un máximo de 30 días.
Derecho de rectificación	Art. 12, 16	El ciudadano tiene derecho a obtener una corrección de sus datos que estén incompletos o incorrectos.	Se ha implementado un sistema para revisar y resolver las solicitudes de rectificación, corregir los datos y confirmar la rectificación al solicitante en un plazo máximo de 30 días. En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la rectificación a dichas organizaciones.
Derecho de supresión (“olvido”)	Art. 12, 17	El ciudadano tiene derecho a que sus datos sean eliminados de forma permanente.	Se ha implementado un sistema para revisar y resolver las solicitudes de supresión de los datos de un ciudadano, eliminar los datos y confirmar la eliminación al ciudadano en un plazo máximo de 30 días. En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la solicitud de eliminación a dichas organizaciones.
Derecho a la limitación del tratamiento	Art. 12, 18	El ciudadano tiene derecho a bloquear o limitar los tipos de tratamientos y finalidades de uso a los que son sometidos sus datos.	Se ha implementado un sistema para revisar y resolver las solicitudes de limitaciones de uso de los datos de un ciudadano, pausar el procesamiento sin eliminar los datos (bloqueo) y confirmar al ciudadano la limitación establecida en un plazo máximo de 30 días.
		El ciudadano tiene derecho
		a mover, copiar o transferir
Derecho a la portabilidad	Art. 12, 20	sus datos personales de una organización a otra, de forma segura, en formato legible y comúnmente usado. También incluye el derecho a que sus datos sean transferidos directamente	Se ha implementado un sistema para revisar y resolver las solicitudes de portabilidad de los datos de un ciudadano, transferir los datos a otras organizaciones o al ciudadano de forma segura y en formato legible o estandarizado, en un plazo máximo de 30 días.
		de una organización a otra
		bajo petición del ciudadano.
Derecho de oposición	Art. 12, 21	El ciudadano tiene derecho a negarse al uso y tratamiento de sus datos para fines específicos a los que no se haya prestado el su consentimiento explicito.	Se ha implementado un sistema para revisar y resolver las solicitudes de oposición y comunicarlo al ciudadano en un plazo máximo de 30 días, a la vez que se informa a las terceras organizaciones implicadas en el tratamiento de los datos.

El ciudadano tiene derecho

Se ha implementado un sistema para

Derecho a no decisiones automatizadas

Art. 12, 22

a solicitar intervención humana en la toma de decisiones, en lugar de ser objetivo de decisiones automatizadas mediante

revisar y resolver las solicitudes para no ser objeto de decisiones automatizadas, revertir las decisiones tomadas por algoritmo y comunicarlo al ciudadano en un plazo máximo de

algoritmos.

30 días.

8.- SEDES

Se denomina “Sedes” a cada uno de los lugares donde la organización tiene ubicadas las oficinas o sucursales en las cuales se recaban, tratan o almacenan datos. Se debe tener en cuenta que se refiere a locales de uso del Responsable del Tratamiento, y no a los locales de las organizaciones prestadoras de servicios.

Si el Responsable del Tratamiento VIBE IMPRESSIO , además de la sede principal, dispone de más sedes, se detallarán a continuación:

BVTEX, S.L.

Descripción: Sede principal

Dirección: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Teléfono: 934156950

9.- PERSONAL QUE ACCEDE O TRATA LOS DATOS PERSONALES

En esta sección se detallan aquellas personas que tienen permisos para recabar, acceder o tratar datos personales bajo la supervisión del Responsable del Tratamiento, independientemente del tipo de soporte o recurso utilizado, ya sea en las propias sedes del Responsable o de forma remota.

Los diferentes tipos o roles de usuarios que pueden existir son:

Administrador de sistemas: Persona responsable de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático o algún aspecto de éste.
Asociado: Cada una de las personas propietarias o societarias de una organización.

Directivo: Persona de máxima autoridad en la gestión y dirección administrativa en una empresa, organización o institución.

Responsable: Persona con capacidad de tomar decisiones de manera consciente, asumiendo las consecuencias de dichas decisiones y con capacidad de responsar a quien corresponda en cada momento. Normalmente tiene personal a su

Usuario de datos: Persona de la organización que dispone de autorización para acceder y tratar datos recabados, almacenados y procesados por la organización.

Usuario externo: Persona externa, que no forma parte de la plantilla de personal de la organización, pero a la que se le ha otorgado permisos para acceder y tratar datos recabados, almacenados y procesados por la organización.

Usuario invitado: Persona que no forma parte integrante de la plantilla de personal de la organización, pero que se le han otorgado permisos temporales para acceder y tratar datos recabados, almacenados y procesados por la organización.
Otro: Persona que no encaje en ninguno de los roles

A continuación se muestra una relación de todo el personal implicado en la organización VIBE IMPRESSIO

ANTONIO GOMEZ ROSES

Tipo documento identificativo: NIF/DNI Número documento identificativo: 43530638X Departamentos: PRODUCCION

Funciones: EMPLEADO DEPARTAMENTO DE PRODUCCION

Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –

Sedes: Documentos:

FERNANDO VICTORIO ASCO

Tipo documento identificativo: NIF/DNI Número documento identificativo: 45928809V Departamentos: PRODUCCION

Funciones: EMPLEADO DEPARTAMENTO DE PRODUCCION

Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –

Sedes: Documentos:

JOSE VIZUETE VERMEJO

Tipo documento identificativo: NIF/DNI Número documento identificativo: 43392609G Departamentos: ADMINISTRACION

Funciones: RESPONSABLE DE PRODUCCION Y SOCIO

Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –

Sedes:

VIBE IMPRESSIO

Documentos:

A- Política de protección en el puesto de trabajo Entrega: No entregado

Firma: No firmado

Aceptación de políticas de seguridad Entrega: No entregado

Firma: No firmado Acuerdo de confidencialidad

Entrega: No entregado Firma: No firmado

Autorización de acceso a datos Entrega: No entregado Firma: No firmado

CARMEN VIZUETE VERMEJO

Tipo documento identificativo: NIF/DNI Número documento identificativo: 43407667C Departamentos: PRESUPUESTOS

Funciones: RESPONSABLE DE PRESUPUESTOS Y SOCIA

Rol: Administrador de sistemas Fecha de alta: 14/05/2018 Fecha de baja: –

Sedes:

VIBE IMPRESSIO

Documentos:

A- Política de protección en el puesto de trabajo Entrega: No entregado

Firma: No firmado

Aceptación de políticas de seguridad Entrega: No entregado

Firma: No firmado Acuerdo de confidencialidad

Entrega: No entregado Firma: No firmado

Autorización de acceso a datos Entrega: No entregado Firma: No firmado

MONTSE ORTEGA GOMEZ

Tipo documento identificativo: NIF/DNI Número documento identificativo: 75104302X Departamentos: ADMINISTRACION Funciones: ADMINISTRATIVA

Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –

Sedes:

VIBE IMPRESSIO

Documentos:

A- Política de protección en el puesto de trabajo Entrega: No entregado

Firma: No firmado

Aceptación de políticas de seguridad Entrega: No entregado

Firma: No firmado Acuerdo de confidencialidad

Entrega: No entregado Firma: No firmado

Autorización de acceso a datos Entrega: No entregado Firma: No firmado

10.- PUNTOS DE CONTROL DE DATOS

Los puntos de control de datos son aquellos recursos, informáticos o no, que una organización utiliza para recabar, procesar o almacenar datos personales.

No se puede dar una lista definida de los diferentes tipos de puntos de control que pudieran existir, pero a modo de ejemplo, podríamos decir que se tratan de los equipos informáticos, software, recursos, soportes, archivadores, dispositivos, etc. que componen la infraestructura de una organización

A continuación se detallan los diferentes puntos de control que utiliza la organización VIBE IMPRESSIO: CONTAPLUS

Descripción: Aplicación informática a la que se accede a través de la red de la entidad para la gestión de la contabilidad

Tipo: Software en red Sedes: VIBE IMPRESSIO

FACTURAPLUS

Descripción:Aplicación informática a la que se accede a través de la red de la entidad para la gestion de la facturacion

Tipo: Software en red Sedes: VIBE IMPRESSIO

FICHERO FÍSICO CON CURRICULUMS

Descripción: Archivador para almacenamiento de datos en formato papel y similares con curriculums

Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO

FICHERO FISICO CON DATOS DE CLIENTES

Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de clientes

Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO

FICHERO FÍSICO CON DATOS DE PROVEEDORES

Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de proveedores

Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO

FICHERO FÍSICO CON DATOS DE TRABAJADORES

Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de trabajadores

Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO

ORDENADOR DE ADMINISTRACION

Descripción: Tipo de ordenador personal, diseñado y fabricado para ser instalado en una ubicación fija, como un escritorio o mesa, a diferencia de otros equipos similares, como ordenador portátil Tipo: Ordenador sobremesa

Sedes: VIBE IMPRESSIO

OUTLOOK

Descripción: Servidor o gestor para el envío y recepción de mensajes electrónicos mediante internet

Tipo: Correos electrónicos Sedes: VIBE IMPRESSIO

SERVIDOR

Descripción: Equipo principal instalado en las oficinas de la entidad y que dispone de software en ejecución (uno o más) capaz de atender las peticiones de un equipo cliente que se conecta, generalmente, a través de la red interna de la entidad

Tipo: Servidor local Sedes: VIBE IMPRESSIO

11.- ORGANIZACIONES DE CONTROL DE DATOS

Las Organizaciones de Control de datos son aquellas que intervienen en cualquier fase de la recogida, tratamiento o almacenamiento de datos personales de terceras personas. Todas ellas tienen la obligación de cumplir con el RGPD, incluso aquellas que estén fuera de la UE, siempre y cuando se traten datos de ciudadanos residentes en la UE. Además, todas estas organizaciones deben estar en disposición de demostrar dicho cumplimiento y de asegurarse de implementar una política de responsabilidad

proactiva.

Los diferentes tipos de Organizaciones de Control de datos son los siguientes:

«Responsable del Tratamiento». Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

«Corresponsable del Tratamiento». Cada una de las persona físicas o jurídicas, autoridad pública, servicio u otro organismo que forman parte de un Responsable del Tratamiento. En la práctica, los Corresponsables del Tratamiento tienen las mismas obligaciones y responsabilidades que la normativa RGPD impone al Responsable.

«Encargado del Tratamiento». La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

«Subencargado del Tratamiento». La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Encargado del Tratamiento. Es responsabilidad del Encargado del Tratamiento de asegurarse de que el Subencargado cumple con las mismas responsabilidades y obligaciones que el Responsable del Tratamiento impone al Encargado, siendo este último quien responda del incumplimiento.

«Destinatario de datos»: Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

«Servicios sin tratamiento de datos»: Tal como su nombre indica, se trata de la persona física o jurídica, autoridad pública, servicio u otro organismo que, para el desempeño de sus actividades inherentes a la prestación de servicios contratada por el Responsable del Tratamiento, acceda a las instalaciones donde se recojan, traten o almacenen los datos personales, sin que exista autorización alguna para que pueda intervenir en los procesos de datos.

A continuación se detallan todas y cada una de las Organizaciones de Control de Datos que intervienen en la organización VIBE IMPRESSIO:

VIBE IMPRESSIO

Número documento identificativo: (CIF) B59192237 Nombre legal: BVTEX, S.L.

Nombre comercial: VIBE IMPRESSIO Sector: POR DEFINIR

Subsector: POR DEFINIR Actividad: POR DEFINIR

Domicilio: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Garantías: –

Actividades:

FACTURACIÓN A CLIENTES