DATA MAPPING
BVTEX, S.L. – 30 de mayo de 2018
1.- DEFINICIONES
- «datos personales»:
Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
- «tratamiento»:
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
- «limitación del tratamiento»:
El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
- «elaboración de perfiles»:
Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
- «seudonimización»:
El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
- «fichero»:
Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
- «responsable del tratamiento» o «responsable»:
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
- «encargado del tratamiento» o «encargado»:
La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
- «destinatario»: La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
- «tercero»: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
- «consentimiento del interesado»:
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta,
ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
- «violación de la seguridad de los datos personales»:
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
- «datos genéticos»:
Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
- «datos biométricos»:
Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
- «datos relativos a la salud»:
Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
- «establecimiento principal»:
- En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
- En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;
- «representante»:
Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;
- «empresa»:
Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
- «grupo empresarial»:
Grupo constituido por una empresa que ejerce el control y sus empresas controladas;
- «normas corporativas vinculantes»:
Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta; ,
- «autoridad de control»:
La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;
- «autoridad de control interesada»:
La autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de
control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control;
- «tratamiento transfronterizo»:
- El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
- El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado
- «objeción pertinente y motivada»:
La objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable
o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;
- «servicio de la sociedad de la información»:
Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);
- «organización internacional»:
Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
2.-OBJETO DEL INFORME DE DATA MAPPING
El Reglamento General de protección de datos de la UE 2016/679 (RGPD) indica que las organizaciones que recaban y/o realizan actividades de tratamiento de datos personales, deberán implementar las medidas técnicas y organizativas necesarias a fin de garantizar la protección de los mismos, la privacidad y los derechos y libertades de las personas titulares de dichos datos personales.
El artículo 4.1 del RGPD da la definición de «datos personales»:
Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Lo anteriormente expuesto requiere que las organizaciones de control de datos identifiquen y comprendan bien la trazabilidad de sus actividades de procesamiento. Esto significa que las organizaciones tendrán que comprender, no sólo cómo y dónde se están utilizando y transmitiendo los datos, sino también dónde se almacenan. En términos de detección de datos, la acción de procesamiento debe ser mapeada a un sistema que registre todos los datos, actividades, recursos, personal y organizaciones implicadas.
El artículo 4.3 del RGPD define el «tratamiento» o procesamiento de datos como:
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Y hay artículos en el RGPD que se refieren específicamente a la necesidad de inventariar los datos personales:
Capítulo 2 (Principios), Sección 3 (Rectificación y borrado):
Artículo 17 (Derecho de supresión / “derecho al olvido”): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales.
Artículo 20: (Derecho a la portabilidad de los datos): El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado
Los artículos anteriores se refieren a algunos de los derechos que tienen los titulares de los datos respecto al uso y tratamiento que la organización de control o procesador realiza sobre ellos. Cualquier solicitud de acceso a datos sujetos significará que las organizaciones controladoras de los datos deben responder de manera oportuna (a menos de un mes desde la recepción de la solicitud). Con el fin de hacer esto, las organizaciones deben saber dónde está ubicada la información, o ser capaz de encontrarla rápidamente a través de su infraestructura.
Capitulo 4 (Controlador y procesador), Sección 1 (Obligaciones generales):
Artículo 24.1: (Responsabilidad de la organización de control): Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
El artículo anterior explica que los controladores tienen que garantizar la supervisión del tratamiento lícitu de los datos personales (que incluye el almacenamiento de estos datos), a través de medidas técnicas y organizativas. Disponer de un inventario actualizado de datos puede ser una forma efectiva de mantener esta visibilidad y garantías.
Además, el Capítulo 5 (artículos 44-50) se centran en las “Transferencias de datos personales a terceros países u organizaciones internacionales”. Esta sección explica las condiciones que se deben cumplir para que los datos personales puedan ser transferidos o procesados fuera de la UE, incluído el artículo 46 (Transferencias sujetas a garantías apropiadas).
Las organizaciones con relaciones con proveedores fuera de la UE, donde los datos pueden ser procesados, tendrán que supervisar estas relaciones y llevar a cabo la diligencia debida para garantizar que estas relaciones o transferencias de datos no violan la regulación de la UE y no ponen los datos privados en situación de riesgo. Por lo tanto, las organizaciones deben asegurarse de identificar los datos que estan ubicados en terceros países y que tipo de actividades de tratamiento y prácticas comerciales se realizan sobre los mismos.
Las organizaciones modernas internacionales y las demanda de globalización han dado lugar a una evolución de la infraestructura de Transferencias Internacionales, ya sea a través de un empleo cada vez mayor de dispositivos móviles para el desempeño del trabajo, o la adopción de infraestructuras en la nube, lo que deriva en que en la actualidad, los datos están más distribuidos que nunca. Esto significa que un inventario de datos supone más que un reto, pues se deberá ser capaz de identificar los riesgos derivados de la contratación de prestación de servicios a terceras organizaciones y los servicios de sincronización y de compartir archivos.
Las organizaciones no sólo tendrán que hacer un inventario de datos de carácter personal operativo, sino que debe tomar parte proactiva en el inventario de datos personales como parte de la fase de preparación o planificación para evaluar el alcance del esfuerzo y los recursos necesarios para llevar a cabo el cumplimiento del RGPD, por lo que las organizaciones deben ser capaces de comprender el alcance de sus flujos y procesos de datos.
El objetivo de este Data Mapping es ofrecer un inventario de todos los datos tratados por la organización, las actividades de tratamiento realizadas sobre tales datos, los puntos de control utilizados para recabar, manipular y almacenarlo, el personal involucrado en el tratamiento, así como las organizaciones de control implicadas en cualquiera de estos procesos.
3.- RESPONSABLE DEL TRATAMIENTO DE DATOS
El artículo 4.7 del RGPD define como «responsable del tratamiento» o «responsable»:
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
A continuación se detallan los datos identificativos y de contacto del Responsable del Tratamiento de datos personales VIBE IMPRESSIO:
IDENTIFICACIÓN
RAZON SOCIAL: | BVTEX, S.L. |
NOMBRE COMERCIAL: | VIBE IMPRESSIO |
IDENTIFICACIÓN: | CIF B59192237 |
ACTIVIDAD: | POR DEFINIR / POR DEFINIR / POR DEFINIR |
REPRESENTANTE: | CARME VIZUETE VERMEJO, 43407667C (ADMINISTRADORA) |
DATOS DE CONTACTO Y DIRECCIÓN
TELÉFONO: | 934156950 |
EMAIL: | presupuestos@vibeimpressio.com |
WEB: | https://www.vibeimpressio.com/ |
DIRECCIÓN FISCAL: | CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España |
DIRECCIÓN SOCIAL: | CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España |
DIRECCIÓN POSTAL: | CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España |
4.- CORRESPONSABLES DEL TRATAMIENTO
Cuando una o más organizaciones determinan los fines y medios del tratamiento; todas y cada una de ellas serán consideradas como Corresponsables del Tratamiento y tendrán las mismas obligaciones y responsabilidades que el Responsable del Tratamiento principal VIBE IMPRESSIO.
En caso de que el tratamiento de los datos se realizase por un grupo de empresas o grupo corporativo, continuación se detallan los datos identificativos y de contacto de los Corresponsables del Tratamiento de datos personales (si no existen corresponsables, no aparecen):
5.- AUTORIDAD DE CONTROL
A continuación se detallan los datos de identificación y de contacto de la Autoridad de Control:
AUTORIDAD: | Agencia Española de Protección de Datos |
TELÉFONO: | 912663517 |
EMAIL: | info@agpd.es |
WEB: | https://www.agpd.es |
DIRECCIÓN: | C/. Jorge Juan, 6. 28001, Madrid (Madrid), España |
¿Qué es una Autoridad de Control?
El artículo 4.21 del RGPD define como «autoridad de control»: La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51:
- La «autoridad de control» se encarga de supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión
- Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión.
- Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité.
- Cada Estado miembro notificará a la Comisión las disposiciones legales que adopten y que sean asignadas a las Autoridades de Control de su
¿Cuáles son las funciones de la Autoridad de Control?
Cada Autoridad de control dispondrá de las siguientes funciones:
Funciones que afectan al interesado:
Facilitar información al interesado de los derechos que le otorga el Reglamento.
Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación.
Resolver las reclamaciones presentadas por un interesado.
Funciones que afectan al Responsable y al Encargado del tratamiento:
Recibir las notificaciones de violaciones de seguridad del Responsable del tratamiento y, si procede, exigir su comunicación al interesado.
Adoptar cláusulas contractuales tipo de protección de datos para la formalización de contratos entre el Responsable y el Encargado del tratamiento.
Realizar transferencias internacionales de datos mediante garantías adecuadas.
Autorizar las cláusulas contractuales establecidas entre el Responsable del tratamiento, Encargado del tratamiento o Destinatarios para realizar transferencias internacionales de datos.
Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de impacto y de los detalles que se deben incluir en su documentación.
Asesorar al Responsable o al Encargado del tratamiento del procedimiento para realizar una consulta previa a la Autoridad de control y, cuando ésta se haya producido y no sea conforme al Reglamento, comunicárselo por escrito en un plazo máximo de 8 semanas.
Funciones que afectan a las garantías de cumplimiento:
Establecer los requisitos de certificación y expedir los mecanismos de certificación, sellos y marcas de protección de datos a los Responsables o Encargados del tratamiento que lo soliciten y renovarlos o retirarlos a su vencimiento.
Elaborar y publicar los criterios para la acreditación de un organismo de certificación o de supervisión de códigos de conducta y expedir la acreditación a tales organismos.
Emitir un dictamen y aprobar los proyectos de códigos de conducta presentados por asociaciones y organismos que representen a categorías de Responsables o Encargados del tratamiento.
Aprobar las normas corporativas vinculantes solicitadas por grupos empresariales o por la unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.
6.- DELEGADO DE PROTECCIÓN DE DATOS O RESPONSABLE DE SEGURIDAD
A continuación se detallan los datos de identificación del DPO o del Responsable de Seguridad de VIBE IMPRESSIO, así como sus datos de contacto:
IDENTIFICACIÓN
DESIGNACIÓN: | Responsable de seguridad |
ENTIDAD: | BVTEX, S.L. – CIF B59192237 |
REPRESENTANTE: | CARME VIZUETE VERMEJO, 43407667C (ADMINISTRADORA) |
CONTACTO Y DIRECCIÓN
TELÉFONO: | 934156950 |
EMAIL: | presupuestos@vibeimpressio.com |
DIRECCIÓN: | CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España |
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) ha impulsando, junto con Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.
Entre las funciones más relevantes que debe ejercer el DPO, están las siguientes:
- Informar, asesorar y sensibilizar al responsable de la empresa y a sus trabajadores de las obligaciones que deben cumplir, en particular en relación a las medidas técnicas y organizativas de seguridad respecto de los datos personales que tratan de sus clientes, trabajadores… y documentarlo.
1.
- Supervisar la implementación y aplicación de las políticas de la empresa en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación de los trabajadores y las auditorías
- Supervisar la implementación y aplicación de la normativa, en particular por lo que hace referencia a los requisitos relativos a la protección de datos desde el diseño, es decir, la protección de datos por defecto y la seguridad de los
- Atender las peticiones de información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos de conformidad con la legislación de protección de
- Velar por la conservación de la documentación que contenga datos
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la
- Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte de la empresa y la presentación de solicitudes de autorización o consultas previas, si fueran necesarias de conformidad con el
- Supervisar la respuesta a las solicitudes de la Agencia Española de Protección de Datos y cooperar con la misma a solicitud de ésta o a iniciativa
- Actuar como punto de contacto para la Agencia Española de Protección de Datos (autoridad de control) sobre las cuestiones relacionadas con el tratamiento y consultar con la misma, si procede, a iniciativa
- Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la Agencia Española de Protección de
7.- PROCEDIMIENTO DE EJERCICIO DE DERECHOS DE LOS INTERESADOS
La normativa de protección de datos RGPD otorga a los ciudadanos el control sobre el uso que hacen las compañias respecto a la información que está directamente viculadas a ellos y les otorga ocho derechos específicos.
La información de contacto para ejercer tales derechos ante el Responsable del Tratamiento VIBE IMPRESSIO es la siguiente:
Responsable: BVTEX, S.L.
Dirección: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Teléfono: 934156950
E-mail: presupuestos@vibeimpressio.com Página web: https://www.vibeimpressio.com/
A continuación se detallan los derechos individuales garantizados por el RGPD, explicando lo que significan en la práctica para el ciudadano y qué ha hecho la organización para atender el ejercicio de tales derechos conforme a la legislación:
DERECHO DEL CIUDADANO | ARTÍCULO GDPR | QUE SIGNIFICA PARA EL CIUDADANO | QUE SE HA IMPLEMENTADO EN LA ORGANIZACIÓN |
Derecho a estar informado |
Art. 12, 13, 14 | Antes de que sus datos sean recabados, el ciudadano tiene derecho a conocer cómo serán recogidos, procesados, almacenados y con qué propósitos. | Se han creado políticas de información de fácil lectura indicando los datos recogidos y tratados, finalidades, bases legales, posibles cesiones y transferencias internacionales, derechos, etc. Dicha información se da antes de recabar los datos. |
Derecho de acceso |
Art. 12, 15 | El ciudadano tiene derecho a conocer cómo los datos existentes han sido recabados, procesados, almacenados y qué actividades y finalidades se realizan con ellos | Se ha implementado un sistema para realizar un seguimiento de la información de los ciudadanos, revisar y resolver las solicitudes de accesos y comunicar la resolución al ciudadano en un máximo de 30 días. |
Derecho de rectificación |
Art. 12, 16 |
El ciudadano tiene derecho a obtener una corrección de sus datos que estén incompletos o incorrectos. | Se ha implementado un sistema para revisar y resolver las solicitudes de rectificación, corregir los datos y confirmar la rectificación al solicitante en un plazo máximo de 30 días. En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la rectificación a dichas organizaciones. |
Derecho de supresión (“olvido”) |
Art. 12, 17 |
El ciudadano tiene derecho a que sus datos sean eliminados de forma permanente. | Se ha implementado un sistema para revisar y resolver las solicitudes de supresión de los datos de un ciudadano, eliminar los datos y confirmar la eliminación al ciudadano en un plazo máximo de 30 días. En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la solicitud de eliminación a dichas organizaciones. |
Derecho a la limitación del tratamiento |
Art. 12, 18 | El ciudadano tiene derecho a bloquear o limitar los tipos de tratamientos y finalidades de uso a los que son sometidos sus datos. | Se ha implementado un sistema para revisar y resolver las solicitudes de limitaciones de uso de los datos de un ciudadano, pausar el procesamiento sin eliminar los datos (bloqueo) y confirmar al ciudadano la limitación establecida en un plazo máximo de 30 días. |
El ciudadano tiene derecho | |||
a mover, copiar o transferir | |||
Derecho a la portabilidad |
Art. 12, 20 | sus datos personales de una organización a otra, de forma segura, en formato legible y comúnmente usado. También incluye el derecho a que sus datos sean transferidos directamente | Se ha implementado un sistema para revisar y resolver las solicitudes de portabilidad de los datos de un ciudadano, transferir los datos a otras organizaciones o al ciudadano de forma segura y en formato legible o estandarizado, en un plazo máximo de 30 días. |
de una organización a otra | |||
bajo petición del ciudadano. | |||
Derecho de oposición |
Art. 12, 21 | El ciudadano tiene derecho a negarse al uso y tratamiento de sus datos para fines específicos a los que no se haya prestado el su consentimiento explicito. | Se ha implementado un sistema para revisar y resolver las solicitudes de oposición y comunicarlo al ciudadano en un plazo máximo de 30 días, a la vez que se informa a las terceras organizaciones implicadas en el tratamiento de los datos. |
El ciudadano tiene derecho | Se ha implementado un sistema para | ||
Derecho a no decisiones automatizadas | Art. 12, 22 | a solicitar intervención humana en la toma de decisiones, en lugar de ser objetivo de decisiones automatizadas mediante | revisar y resolver las solicitudes para no ser objeto de decisiones automatizadas, revertir las decisiones tomadas por algoritmo y comunicarlo al ciudadano en un plazo máximo de |
algoritmos. | 30 días. |
8.- SEDES
Se denomina “Sedes” a cada uno de los lugares donde la organización tiene ubicadas las oficinas o sucursales en las cuales se recaban, tratan o almacenan datos. Se debe tener en cuenta que se refiere a locales de uso del Responsable del Tratamiento, y no a los locales de las organizaciones prestadoras de servicios.
Si el Responsable del Tratamiento VIBE IMPRESSIO , además de la sede principal, dispone de más sedes, se detallarán a continuación:
BVTEX, S.L.
Descripción: Sede principal
Dirección: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Teléfono: 934156950
9.- PERSONAL QUE ACCEDE O TRATA LOS DATOS PERSONALES
En esta sección se detallan aquellas personas que tienen permisos para recabar, acceder o tratar datos personales bajo la supervisión del Responsable del Tratamiento, independientemente del tipo de soporte o recurso utilizado, ya sea en las propias sedes del Responsable o de forma remota.
Los diferentes tipos o roles de usuarios que pueden existir son:
- Administrador de sistemas: Persona responsable de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático o algún aspecto de éste.
- Asociado: Cada una de las personas propietarias o societarias de una organización.
- Directivo: Persona de máxima autoridad en la gestión y dirección administrativa en una empresa, organización o institución.
- Responsable: Persona con capacidad de tomar decisiones de manera consciente, asumiendo las consecuencias de dichas decisiones y con capacidad de responsar a quien corresponda en cada momento. Normalmente tiene personal a su
- Usuario de datos: Persona de la organización que dispone de autorización para acceder y tratar datos recabados, almacenados y procesados por la organización.
- Usuario externo: Persona externa, que no forma parte de la plantilla de personal de la organización, pero a la que se le ha otorgado permisos para acceder y tratar datos recabados, almacenados y procesados por la organización.
- Usuario invitado: Persona que no forma parte integrante de la plantilla de personal de la organización, pero que se le han otorgado permisos temporales para acceder y tratar datos recabados, almacenados y procesados por la organización.
- Otro: Persona que no encaje en ninguno de los roles
A continuación se muestra una relación de todo el personal implicado en la organización VIBE IMPRESSIO
:
ANTONIO GOMEZ ROSES
Tipo documento identificativo: NIF/DNI Número documento identificativo: 43530638X Departamentos: PRODUCCION
Funciones: EMPLEADO DEPARTAMENTO DE PRODUCCION
Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –
Sedes: Documentos:
FERNANDO VICTORIO ASCO
Tipo documento identificativo: NIF/DNI Número documento identificativo: 45928809V Departamentos: PRODUCCION
Funciones: EMPLEADO DEPARTAMENTO DE PRODUCCION
Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –
Sedes: Documentos:
JOSE VIZUETE VERMEJO
Tipo documento identificativo: NIF/DNI Número documento identificativo: 43392609G Departamentos: ADMINISTRACION
Funciones: RESPONSABLE DE PRODUCCION Y SOCIO
Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –
Sedes:
VIBE IMPRESSIO
Documentos:
A- Política de protección en el puesto de trabajo Entrega: No entregado
Firma: No firmado
Aceptación de políticas de seguridad Entrega: No entregado
Firma: No firmado Acuerdo de confidencialidad
Entrega: No entregado Firma: No firmado
Autorización de acceso a datos Entrega: No entregado Firma: No firmado
- CARMEN VIZUETE VERMEJO
Tipo documento identificativo: NIF/DNI Número documento identificativo: 43407667C Departamentos: PRESUPUESTOS
Funciones: RESPONSABLE DE PRESUPUESTOS Y SOCIA
Rol: Administrador de sistemas Fecha de alta: 14/05/2018 Fecha de baja: –
Sedes:
VIBE IMPRESSIO
Documentos:
A- Política de protección en el puesto de trabajo Entrega: No entregado
Firma: No firmado
Aceptación de políticas de seguridad Entrega: No entregado
Firma: No firmado Acuerdo de confidencialidad
Entrega: No entregado Firma: No firmado
Autorización de acceso a datos Entrega: No entregado Firma: No firmado
MONTSE ORTEGA GOMEZ
Tipo documento identificativo: NIF/DNI Número documento identificativo: 75104302X Departamentos: ADMINISTRACION Funciones: ADMINISTRATIVA
Rol: Usuario de datos Fecha de alta: 14/05/2018 Fecha de baja: –
Sedes:
VIBE IMPRESSIO
Documentos:
A- Política de protección en el puesto de trabajo Entrega: No entregado
Firma: No firmado
Aceptación de políticas de seguridad Entrega: No entregado
Firma: No firmado Acuerdo de confidencialidad
Entrega: No entregado Firma: No firmado
Autorización de acceso a datos Entrega: No entregado Firma: No firmado
10.- PUNTOS DE CONTROL DE DATOS
Los puntos de control de datos son aquellos recursos, informáticos o no, que una organización utiliza para recabar, procesar o almacenar datos personales.
No se puede dar una lista definida de los diferentes tipos de puntos de control que pudieran existir, pero a modo de ejemplo, podríamos decir que se tratan de los equipos informáticos, software, recursos, soportes, archivadores, dispositivos, etc. que componen la infraestructura de una organización
A continuación se detallan los diferentes puntos de control que utiliza la organización VIBE IMPRESSIO: CONTAPLUS
Descripción: Aplicación informática a la que se accede a través de la red de la entidad para la gestión de la contabilidad
Tipo: Software en red Sedes: VIBE IMPRESSIO
FACTURAPLUS
Descripción:Aplicación informática a la que se accede a través de la red de la entidad para la gestion de la facturacion
Tipo: Software en red Sedes: VIBE IMPRESSIO
FICHERO FÍSICO CON CURRICULUMS
Descripción: Archivador para almacenamiento de datos en formato papel y similares con curriculums
Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO
FICHERO FISICO CON DATOS DE CLIENTES
Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de clientes
Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO
FICHERO FÍSICO CON DATOS DE PROVEEDORES
Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de proveedores
Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO
FICHERO FÍSICO CON DATOS DE TRABAJADORES
Descripción: Archivador para almacenamiento de datos en formato papel y similares con datos de trabajadores
Tipo: Almacenamiento físico Sedes: VIBE IMPRESSIO
ORDENADOR DE ADMINISTRACION
Descripción: Tipo de ordenador personal, diseñado y fabricado para ser instalado en una ubicación fija, como un escritorio o mesa, a diferencia de otros equipos similares, como ordenador portátil Tipo: Ordenador sobremesa
Sedes: VIBE IMPRESSIO
OUTLOOK
Descripción: Servidor o gestor para el envío y recepción de mensajes electrónicos mediante internet
Tipo: Correos electrónicos Sedes: VIBE IMPRESSIO
SERVIDOR
Descripción: Equipo principal instalado en las oficinas de la entidad y que dispone de software en ejecución (uno o más) capaz de atender las peticiones de un equipo cliente que se conecta, generalmente, a través de la red interna de la entidad
Tipo: Servidor local Sedes: VIBE IMPRESSIO
11.- ORGANIZACIONES DE CONTROL DE DATOS
Las Organizaciones de Control de datos son aquellas que intervienen en cualquier fase de la recogida, tratamiento o almacenamiento de datos personales de terceras personas. Todas ellas tienen la obligación de cumplir con el RGPD, incluso aquellas que estén fuera de la UE, siempre y cuando se traten datos de ciudadanos residentes en la UE. Además, todas estas organizaciones deben estar en disposición de demostrar dicho cumplimiento y de asegurarse de implementar una política de responsabilidad
proactiva.
Los diferentes tipos de Organizaciones de Control de datos son los siguientes:
«Responsable del Tratamiento». Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
«Corresponsable del Tratamiento». Cada una de las persona físicas o jurídicas, autoridad pública, servicio u otro organismo que forman parte de un Responsable del Tratamiento. En la práctica, los Corresponsables del Tratamiento tienen las mismas obligaciones y responsabilidades que la normativa RGPD impone al Responsable.
«Encargado del Tratamiento». La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
«Subencargado del Tratamiento». La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Encargado del Tratamiento. Es responsabilidad del Encargado del Tratamiento de asegurarse de que el Subencargado cumple con las mismas responsabilidades y obligaciones que el Responsable del Tratamiento impone al Encargado, siendo este último quien responda del incumplimiento.
«Destinatario de datos»: Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.
«Servicios sin tratamiento de datos»: Tal como su nombre indica, se trata de la persona física o jurídica, autoridad pública, servicio u otro organismo que, para el desempeño de sus actividades inherentes a la prestación de servicios contratada por el Responsable del Tratamiento, acceda a las instalaciones donde se recojan, traten o almacenen los datos personales, sin que exista autorización alguna para que pueda intervenir en los procesos de datos.
A continuación se detallan todas y cada una de las Organizaciones de Control de Datos que intervienen en la organización VIBE IMPRESSIO:
VIBE IMPRESSIO
Número documento identificativo: (CIF) B59192237 Nombre legal: BVTEX, S.L.
Nombre comercial: VIBE IMPRESSIO Sector: POR DEFINIR
Subsector: POR DEFINIR Actividad: POR DEFINIR
Domicilio: CALLE GUILLEM TELL, 15. 08006, BARCELONA (Barcelona), España Garantías: –
Actividades:
FACTURACIÓN A CLIENTES
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 23/05/2018 Fecha de fin: –
CONTACTO CON CLIENTES
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 23/05/2018 Fecha de fin: –
CONTACTO CON PROVEEDORES
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 23/05/2018 Fecha de fin: –
REALIZACIÓN DE NÓMINAS
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 23/05/2018 Fecha de fin: –
RECEPCIÓN DE CURRICULUMS
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 23/05/2018 Fecha de fin: –
ENVIÓ DE CORREO COMERCIAL
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 30/05/2018 Fecha de fin: –
ADAPTACIÓN DE LA EMPRESA AL RGPD
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 30/05/2018 Fecha de fin: –
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 30/05/2018 Fecha de fin: –
CONSULTAS PAGINA WEB
Tipo de relación: Responsable del tratamiento Servicios contratados: –
Fecha de inicio de actividad: 30/05/2018 Fecha de fin: –
Documentos: –
GESTORIA TAX
Número documento identificativo: (CIF) B66215310 Nombre legal: GESTORIA TAX
Nombre comercial: TAX Sector: Servicios
Subsector: Asesoría y consultoria Actividad: Asesoría laboral, fiscal y contable
Domicilio: PASSEIG DE GRACIA 85. 08008, BARCELONA (Barcelona), España Garantías: –
Actividades:
FACTURACIÓN A CLIENTES
Tipo de relación: Encargado del tratamiento
Servicios contratados: ASESORIA FISCAL, LABORAL Y CONTABLE Fecha de inicio de actividad: 23/05/2018
Fecha de fin: – REALIZACIÓN DE NÓMINAS
Tipo de relación: Encargado del tratamiento
Servicios contratados: ASESORIA FISCAL, LABORAL Y CONTABLE Fecha de inicio de actividad: 23/05/2018
Fecha de fin: – Documentos:
Acuerdo con Encargados de Tratamiento
Entrega: No entregado Firma: No firmado
GREMI DE LA INDÚSTRIA I LA COMUNICACIÓ GRÀFICA DE CATALUNYA
Número documento identificativo: (CIF) G-08487818
Nombre legal: GREMI DE LA INDÚSTRIA I LA COMUNICACIÓ GRÀFICA DE CATALUNYA Nombre comercial: GREMI DE LA INDÚSTRIA I LA COMUNICACIÓ GRÀFICA DE CATALUNYA
Sector: Servicios
Subsector: Asesoría y consultoria Actividad: Consultoría de privacidad
Domicilio: Gran Via de les Corts Catalanes, 645, 6a Planta. 08010, BARCELONA (Barcelona), España Garantías: –
Actividades:
ADAPTACIÓN DE LA EMPRESA AL RGPD
Tipo de relación: Encargado del tratamiento
Servicios contratados: ASESORAMIENTO ADAPTACIÓN AL RGPD Fecha de inicio de actividad: 30/05/2018
Fecha de fin: – Documentos:
Acuerdo con Encargados de Tratamiento Entrega: No entregado
Firma: No firmado
12.- CATEGORIAS DE PERSONAS DE LAS QUE SE TRATAN DATOS PERSONALES
Se entiende como Categorías de Personas o Interesados aquellos grupos de personas de los que se recaban, tratan o almacenan datos personales. Podríamos decir que son los ficheros de datos de los que dispone una organización, es decir, todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
A continuación se detallan las diferentes Categorías de Personas o Interesados que dispone la organización VIBE IMPRESSIO:
CLIENTES
Descripción: –
Fecha de alta: 23/05/2018 Orígenes y procedencias:
El propio interesado o su representante legal Tipos de datos:
Dirección electrónica Dirección postal Firma manuscrita
NIF / NIE / Pasaporte Nombre y Apellidos Teléfono
Datos bancarios
POTENCIALES CLIENTES
Descripción: –
Fecha de alta: 23/05/2018 Orígenes y procedencias:
El propio interesado o su representante legal Tipos de datos:
Dirección electrónica Dirección postal Nombre y Apellidos
Teléfono
POTENCIALES TRABAJADORES
Descripción: –
Fecha de alta: 23/05/2018 Orígenes y procedencias:
El propio interesado o su representante legal Tipos de datos:
Dirección electrónica Imagen
NIF / NIE / Pasaporte Nombre y Apellidos Teléfono
Experiencia profesional Historial del estudiante Titulaciones
Fecha de nacimiento
PROVEEDORES
Descripción: –
Fecha de alta: 23/05/2018 Orígenes y procedencias:
El propio interesado o su representante legal Tipos de datos:
Dirección electrónica Dirección postal Firma manuscrita
NIF / NIE / Pasaporte Nombre y Apellidos Teléfono
Datos bancarios
TRABAJADORES
Descripción: –
Fecha de alta: 23/05/2018 Orígenes y procedencias:
El propio interesado o su representante legal Tipos de datos:
Nº Seguridad Social / Mutualidad Nombre y Apellidos
Dirección electrónica Teléfono
Dirección postal Firma manuscrita Imagen
NIF / NIE / Pasaporte Titulaciones Experiencia profesional Historial del estudiante Datos de estado civil Fecha de nacimiento Puestos de trabajo Datos bancarios
13.- ACTIVIDADES DE TRATAMIENTO DE DATOS
Se define como actividad de tratamiento de datos cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Debe tenerse en cuenta que estas actividades de tratamiento pueden ser de dos tipos
«Actividades Propias»: Aquellas operaciones de tratamiento realizados sobre datos personales de los que la organización es Responsable del Tratamiento, es decir, que determina los fines y medios del tratamiento.
«Actividades por Encargo»: Aquellas actividades de tratamiento realizadas sobre datos personales involucrados en una prestación de servicios a un Responsable del Tratamiento.
También se debe tener en cuenta que las actividades se clasifican según el tipo de tratamiento y el tipo de datos tratados, entre los cuales se encuentran:
Actividades automatizadas Actividades no automatizadas Actividades mixtas Actividades de datos básicos Actividades de datos sensibles Actividades de datos penales
Actividades de datos de menores
Actividades de datos de solvencia patrimonial Actividades de datos de evaluación de perfiles Actividades de datos biométricos.
Etc.
Las actividades de tratamiento de la organización VIBE IMPRESSIO son las siguientes:
Actividades de tratamiento de datos como Corresponsable del Tratamiento No existen actividades
Actividades de tratamiento de datos como Destinatario de Datos No existen actividades
Actividades de tratamiento de datos como Encargado del tratamiento No existen actividades
Actividades de tratamiento de datos como Responsable del tratamiento
ADAPTACIÓN DE LA EMPRESA AL RGPD
Nombre: ADAPTACIÓN DE LA EMPRESA AL RGPD
Descripción:
Fecha de inicio de actividad: 30/05/2018 Finalidades:
Otras finalidades
Conservación: Mientras no se solicite su supresión por el interesado Sistema de tratamiento: Mixto
Categoría de tratamiento: Básicos Tipos de tratamientos: –
CONSULTAS PAGINA WEB
Nombre: CONSULTAS PAGINA WEB
Descripción:
Fecha de inicio de actividad: 30/05/2018 Finalidades:
Gestión de clientes potenciales y contactos
Conservación: Mientras no se solicite su supresión por el interesado Sistema de tratamiento: Automatizado
Categoría de tratamiento: Básicos Tipos de tratamientos: –
CONTACTO CON CLIENTES
Nombre: CONTACTO CON CLIENTES
Descripción:
Fecha de inicio de actividad: 23/05/2018 Finalidades:
Otras finalidades
Conservación: Mientras se mantenga la relación mercantil Sistema de tratamiento: Mixto
Categoría de tratamiento: Básicos Tipos de tratamientos: –
CONTACTO CON PROVEEDORES
Nombre: CONTACTO CON PROVEEDORES
Descripción:
Fecha de inicio de actividad: 23/05/2018 Finalidades:
Otras finalidades
Conservación: Mientras se mantenga la relación mercantil Sistema de tratamiento: Mixto
Categoría de tratamiento: Básicos Tipos de tratamientos: –
ENVIÓ DE CORREO COMERCIAL
Nombre: ENVIÓ DE CORREO COMERCIAL
Descripción:
Fecha de inicio de actividad: 30/05/2018 Finalidades:
Comunicaciones comerciales
Conservación: Mientras no se solicite su supresión por el interesado Sistema de tratamiento: Automatizado
Categoría de tratamiento: Básicos Tipos de tratamientos: –
FACTURACIÓN A CLIENTES
Nombre: FACTURACIÓN A CLIENTES
Descripción:
Fecha de inicio de actividad: 23/05/2018 Finalidades:
Gestión de clientes/proveedores, contable, fiscal y administrativa Conservación: Mientras se mantenga la relación mercantil
Sistema de tratamiento: Mixto Categoría de tratamiento: Básicos Tipos de tratamientos: –
REALIZACIÓN DE NÓMINAS
Nombre: REALIZACIÓN DE NÓMINAS
Descripción:
Fecha de inicio de actividad: 23/05/2018 Finalidades:
Gestión de nóminas y contratos laborales
Conservación: Mientras no se solicite su supresión por el interesado Sistema de tratamiento: Mixto
Categoría de tratamiento: Básicos Tipos de tratamientos: –
RECEPCIÓN DE CURRICULUMS
Nombre: RECEPCIÓN DE CURRICULUMS
Descripción:
Fecha de inicio de actividad: 23/05/2018
Finalidades:
Otras finalidades
Conservación: Mientras no se solicite su supresión por el interesado Sistema de tratamiento: Mixto
Categoría de tratamiento: Básicos Tipos de tratamientos: –
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB
Nombre: SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB
Descripción:
Fecha de inicio de actividad: 30/05/2018 Finalidades:
Comercio electrónico
Conservación: Mientras se mantenga la relación mercantil Sistema de tratamiento: Automatizado
Categoría de tratamiento: Básicos Tipos de tratamientos: –
Actividades de tratamiento de datos como Servicios sin Tratamiento de Datos No existen actividades
Actividades de tratamiento de datos como Subencargado de Tratamiento No existen actividades
14.- TRANSFERENCIAS INTERNACIONALES DE DATOS REALIZADAS
Las Transferencias Internacionales de datos son aquellas actividades que llevan implícito:
- El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
- El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.
La normativa RGPD establece que sólo se podrán realizar transferencias internacionales de datos si el Responsable o el Encargado del Tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:
- Decisión de adecuación tomada por la comisión de la Unión Europea
- Garantías adecuadas de protección de
A continuación se detallan las posibles transferencias internacionales de datos realizadas por VIBE IMPRESSIO:
15.- CATEGORÍAS Y TIPOS DE DATOS TRATADOS EN CADA ACTIVIDAD
A continuación se detallan las categorías y tipos de datos tratados en cada actividad de VIBE IMPRESSIO: ADAPTACIÓN DE LA EMPRESA AL RGPD
PROVEEDORES
Datos identificativos
Dirección electrónica Dirección postal
NIF / NIE / Pasaporte Firma manuscrita Nombre y Apellidos
TRABAJADORES
Datos identificativos
Nombre y Apellidos Firma manuscrita
NIF / NIE / Pasaporte
CONSULTAS PAGINA WEB CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
POTENCIALES CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
CONTACTO CON CLIENTES CLIENTES
Datos identificativos
Dirección electrónica Dirección postal Nombre y Apellidos Teléfono
CONTACTO CON PROVEEDORES PROVEEDORES
Datos identificativos
Dirección electrónica Dirección postal Nombre y Apellidos Teléfono
ENVIÓ DE CORREO COMERCIAL CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
POTENCIALES CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
FACTURACIÓN A CLIENTES CLIENTES
Datos identificativos
Dirección electrónica Dirección postal Nombre y Apellidos NIF / NIE / Pasaporte
Económicos, financieros y de seguros Datos bancarios
REALIZACIÓN DE NÓMINAS TRABAJADORES
Datos identificativos
Nº Seguridad Social / Mutualidad Nombre y Apellidos
Firma manuscrita
NIF / NIE / Pasaporte Detalles de empleo
Puestos de trabajo Económicos, financieros y de seguros
Datos bancarios
RECEPCIÓN DE CURRICULUMS POTENCIALES TRABAJADORES
Datos identificativos
Dirección electrónica Imagen
NIF / NIE / Pasaporte Nombre y Apellidos Teléfono
Académico y profesionales Experiencia profesional Historial del estudiante Titulaciones
Características personales Fecha de nacimiento
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
POTENCIALES CLIENTES
Datos identificativos
Dirección electrónica Nombre y Apellidos
16.- PERSONAL Y PUNTOS DE CONTROL DE CADA ACTIVIDAD
A continuación se detalla el personal que tiene acceso a las actividades de la organización VIBE IMPRESSIO, así como los puntos de control utilizados en dichos procesos:
ANTONIO GOMEZ ROSES
No tiene permisos de acceso a ninguna actividad.
FERNANDO VICTORIO ASCO
No tiene permisos de acceso a ninguna actividad.
JOSE VIZUETE VERMEJO CONTACTO CON CLIENTES
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FISICO CON DATOS DE CLIENTES CONTACTO CON PROVEEDORES
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FÍSICO CON DATOS DE PROVEEDORES
RECEPCIÓN DE CURRICULUMS
FICHERO FÍSICO CON CURRICULUMS ENVIÓ DE CORREO COMERCIAL
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
ADAPTACIÓN DE LA EMPRESA AL RGPD ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB ORDENADOR DE ADMINISTRACION
SERVIDOR OUTLOOK
CONSULTAS PAGINA WEB
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FISICO CON DATOS DE CLIENTES
- CARMEN VIZUETE VERMEJO FACTURACIÓN A CLIENTES
SERVIDOR FACTURAPLUS OUTLOOK
CONTACTO CON CLIENTES SERVIDOR FACTURAPLUS OUTLOOK
REALIZACIÓN DE NÓMINAS CONTAPLUS
ENVIÓ DE CORREO COMERCIAL SERVIDOR
OUTLOOK
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB SERVIDOR
OUTLOOK
MONTSE ORTEGA GOMEZ CONTACTO CON CLIENTES
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FISICO CON DATOS DE CLIENTES CONTACTO CON PROVEEDORES
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FÍSICO CON DATOS DE PROVEEDORES RECEPCIÓN DE CURRICULUMS
FICHERO FÍSICO CON CURRICULUMS ENVIÓ DE CORREO COMERCIAL
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
ADAPTACIÓN DE LA EMPRESA AL RGPD ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
SUSCRIPCIÓN DESCUENTOS EXCLUSIVOS PAGINA WEB ORDENADOR DE ADMINISTRACION
SERVIDOR OUTLOOK
CONSULTAS PAGINA WEB
ORDENADOR DE ADMINISTRACION SERVIDOR
OUTLOOK
FICHERO FISICO CON DATOS DE CLIENTES