Políticacorporativadeprotecciódedades

Introducció

La Constitució Espanyola, en el seu article 18 garanteix el dret a l’honor, la intimitat personal i familiar i la pròpia imatge. En particular, al seu apartat quart, estableix la necessitat de protegir aquests drets fonamentals, dins l’àmbit relacionat amb l’ús de la informàtica. D’aquesta manera, l’article 18.4 de la nostra Constitució disposa:

“La Llei limitarà l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets”.

Com a conseqüència d’aquest mandat i per tal de desenvolupar el contingut del mateix, es va promulgar la Llei Orgànica 5/1992, de 29 d’octubre, de Regulació del Tractament Automatitzat de Dades de caràcter personal, col·loquialment anomenada com a LORTAD.

Posteriorment, es va promulgar en el marc de la Unió Europea la Directiva 95/46/CEE relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i la lliure circulació de les dades.

En compliment d’aquesta Directiva, Espanya va promulgar la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (col·loquialment coneguda com LOPD) i que va suposar la transposició de la Directiva 95/46/CE al dret intern del nostre país juntament amb el Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD (col·loquialment anomenada RDLOPD).

No obstant, per garantir un nivell uniforme i elevat de protecció de les persones físiques i eliminar els obstacles a la circulació de dades personals dins de la Unió Europea, era necessari un reglament que proporcionés seguretat jurídica i transparència als operadors econòmics, i oferís a les persones físiques de tots els Estats membres el mateix nivell de drets i obligacions exigibles i de responsabilitat per als responsables i encarregats del tractament, amb la finalitat de garantir una supervisió coherent del tractament de dades personals i sancions equivalents en tots els Estats membres, així com la cooperació efectiva entre les autoritats de control dels diferents Estats membres.

Per això, va ser aprovat i va entrar en vigor el 25 de maig de 2016 el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).

En l’actualitat, el vigent Reglament General de Protecció de Dades de la Unió Europea (en endavant, RGPD) ha derogat la Directiva 95/46/CEE i és plenament aplicable per a tot el territori de la Unió Europea de manera directa.

El citat RGPD, en el seu article 24, estableix com una obligació de responsabilitat proactiva de VERANDA MEDIA, S.L., en endavant VERANDA, la necessitat d’establir les oportunes polítiques de protecció de dades, amb la finalitat de garantir i poder demostrar que el tractament és conforme amb el citat Reglament.

En la mateixa línia, l’article 28 de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (en endavant, LOPDGDD), indica que, els responsables i encarregats, tenint en compte els reglaments enumerats en els articles 24 i 25 del RGPD, determinaran les mesures tècniques i organitzatives adequades que cal aplicar per tal de garantir i acreditar que el tractament és conforme amb el citat Reglament, amb la present Llei Orgànica, les seves normes de desenvolupament i la legislació sectorial aplicable.

Una de les obligacions bàsiques per a VERANDA és la formació del personal que participa en les operacions de tractament de les dades i la conscienciació d’aquest personal en la importància i necessitat del compliment de la normativa.

Amb base en el que s’ha dit, i, conscient de la importància que el personal conegui la normativa vigent sobre protecció de dades, s’ha elaborat la present política i normativa interna en matèria de protecció de dades d’obligat compliment per a tots els treballadors.

Objecte de la política

La present política ha estat aprovada per VERANDA i té per objecte establir, a nivell corporatiu, les obligacions del personal de VERANDA de donar compliment a la normativa de protecció de dades de caràcter personal en el desenvolupament i l’exercici de les seves funcions.

Delegació de Protecció de Dades

VERANDA disposa d’una Delegada de Protecció de Dades amb adreça electrònica de contacte a dpd@veranda.tv que, entre d’altres funcions, coopera amb les autoritats de control de protecció de dades i atén les persones interessades en les seves reclamacions en matèria de protecció de dades, en concret aquelles que realitzin prèviament a la presentació d’una reclamació davant l’autoritat de control.

Principis generals de la protecció de dades

Els principis generals que han de governar qualsevol tractament de dades personals dut a terme per VERANDA són els següents:

Principi de lleialtat, que implica complir totes les normes del Dret generals i/o sectorials, aplicables al tractament, així com les polítiques i normes de VERANDA.

Principi de proporcionalitat, que implica que el dret a la protecció de les dades personals no és un dret absolut, sinó que cal considerar-lo en relació a la seva funció en la societat i mantenir l’equilibri amb altres drets fonamentals, d’acord amb el principi de proporcionalitat.

Principi de licitud, que implica que, qualsevol tractament tindrà una base jurídica entre les següents:

  • Consentiment de la persona interessada per al tractament de les seves dades personals per a una o diverses finalitats específiques;
  • Execució d’un contracte en què la persona interessada és part o per a l’aplicació a petició d’aquest de mesures precontractuals;
  • Compliment d’una obligació legal aplicable al responsable del tractament;
  • Protecció dels interessos vitals de la persona interessada o d’una altra persona física;
  • Compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament;
  • Satisfacció d’interessos legítims perseguits per VERANDA o per un tercer, sempre que per sobre d’aquests interessos no hi prevalguin els interessos o drets i llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals.

Principi de transparència, que implica que la persona interessada serà informada de l’abast del tractament de manera lleial, inequívoca, específica i expressa.

Principi de finalitat i limitació de la finalitat, que implica que el tractament de les dades sempre es durà a terme amb finalitats explícites, legítimes i específiques.

Principi de compatibilitat, que implica que no es duran a terme tractaments de dades amb finalitats incompatibles amb aquelles que van motivar la recollida de les dades. No es consideraran en tot cas incompatibles amb les finalitats d’arxiu en interès públic, finalitats d’investigació científica i històrica o finalitats estadístiques.

Principi de minimització de dades, que implica que, les dades sotmeses a tractament seran adequades, pertinents i limitades al que calgui en relació a les finalitats per a les quals són tractades i a les mínimes dades possibles.

Principi d’exactitud, que implica que es sotmetran a tractament dades exactes i, si calgués, actualitzades; adoptant totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes pel que fa a les finalitats per a les quals es tracten.

Principi de limitació del termini de conservació, que implica que les dades seran mantingudes durant no més temps del necessari per a les finalitats del tractament per a les quals van ser recollides les dades personals.

Principi d’integritat, confidencialitat i seguretat, que implica que les dades personals seran tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, per mitjà de l’aplicació de mesures tècniques o organitzatives adequades.

Principis de protecció de dades des del disseny i per defecte reduint al màxim el tractament de les dades personals, tant pel que fa a (i) la quantitat de dades personals recollides; (ii) l’extensió del seu tractament; (iii) el seu termini de conservació i (iv) la seva accessibilitat.

Principi de responsabilitat proactiva o diligència deguda, que implica que el responsable i l’encarregat del tractament han de complir amb els principis abans esmentats i ser capaços de demostrar-ho.

Drets en matèria de protecció de dades

Les persones interessades seran informades dels següents drets, que, a més, seran atesos i gestionats per VERANDA en la mesura en què siguin objecte d’exercici:

Drets d’accés: que proporcionarà a la persona interessada el dret a obtenir de VERANDA confirmació de si s’estan tractant o no dades personals que la concerneixen i, en tal cas, dret d’accés a les dades personals i a la informació següent:

  • les finalitats del tractament;
  • les categories de dades personals que es tractin;
  • els destinataris o les categories de destinataris als quals es van comunicar o es comunicaran les dades personals, en particular destinataris en tercers o organitzacions internacionals;
  • si és possible, el termini previst de conservació de les dades personals o, si no és possible, els criteris emprats per a determinar aquest termini;
  • l’existència del dret a sol·licitar del responsable la rectificació o supressió de dades personals o la limitació del tractament de dades personals relatives a la persona interessada, o a oposar-se a aquest tractament;
  • el dret a presentar una reclamació davant d’una autoritat de control;
  • quan les dades personals no s’hagin obtingut de la persona interessada, qualsevol informació disponible sobre el seu origen;
  • l’existència de decisions automatitzades, inclosa l’elaboració de perfils i, si més no en aquests casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a la persona interessada.
  • quan es transfereixin dades personals a un tercer país o a una organització internacional, les garanties adequades en virtut de l’article 46 del RGPD relatives a la transferència.

Dret de rectificació, que proporcionarà a la persona interessada el dret a obtenir sense dilació indeguda de VERANDA rectificació de les dades personals inexactes que la concerneixin i/o que es completin les dades personals incompletes, fins i tot per mitjà d’una declaració addicional.

Dret de supressió («el dret a l’oblit») que proporcionarà el dret a obtenir sense dilació indeguda de VERANDA la supressió de les dades personals que la concerneixin, que es veurà obligada a suprimir sense dilació indeguda les dades personals en cas que concorri alguna de les circumstàncies següents:

  • les dades personals ja no siguin necessàries en relació a les finalitats per a les quals van ser recollides o tractades d’altra manera;
  • la persona interessada retiri el consentiment en què es basa el tractament i aquest no es basi en un altre fonament jurídic;
  • la persona interessada s’oposi al tractament per motius relacionats amb la seva situació particular, i no prevalguin altres motius legítims per al tractament, o la persona interessada s’oposi al tractament amb finalitats de mercadotècnia (publicitat);
  • les dades personals hagin estat tractades il·lícitament;
  • les dades personals s’hagin de suprimir per al compliment d’una obligació legal establerta en el Dret que s’apliqui al responsable del tractament;
  • les dades personals s’hagin obtingut en relació a l’oferta de serveis de la societat de la informació quan la persona interessada era menor.

Dret a la limitació del tractament que proporcionarà a la persona interessada el dret a obtenir de VERANDA la limitació del tractament de les dades quan es compleixi alguna de les condicions següents:

  • la persona interessada impugni l’exactitud de les dades personals, durant un termini que permeti al responsable verificar-ne l’exactitud d’aquests;
  • el tractament sigui il·lícit i la persona interessada s’oposi a la supressió de les dades personals i sol·liciti en el seu lloc la limitació del seu ús;
  • el responsable ja no necessiti les dades personals per a les finalitats del tractament, però la persona interessada les necessiti per a la formulació, l’exercici o la defensa de reclamacions; d) la persona interessada s’hagi oposat al tractament basat en motius relacionats amb la seva situació particular, mentre es verifica si els motius legítims del responsable prevalen sobre els de la persona interessada.

Dret a la portabilitat de les dades, que proporcionarà a la persona interessada el dret a rebre les dades personals que l’incumbeixin, que hagi facilitat a un responsable del tractament, en un format estructurat, d’ús comú i lectura mecànica, i a transmetre-les a un altre responsable del tractament sense que ho impedeixi el responsable al qual les haguera facilitat quan:

  • el tractament estigui basat en el consentiment, o en un contracte, i
  • el tractament s’efectuï pels mitjans automatitzats.

Dret d’oposició, que proporcionarà a la persona interessada el dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, a que dades personals que el concerneixen siguin objecte d’un tractament basat en el compliment d’una missió realitzada en interès públic o en l’exercici de poders públics del responsable o en la satisfacció d’interès legítim del responsable, inclosa l’elaboració de perfils. VERANDA deixarà de tractar les dades personals, llevat que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de la persona interessada, o per a la formulació, l’exercici i la defensa de les reclamacions.

Aquest dret també proporcionarà a la persona interessada el dret d’oposar-se en tot moment al tractament de les dades personals que el concerneixin amb finalitats de mercadotècnia (publicitat), inclosa l’elaboració de perfils relacionada amb aquesta finalitat. A més, quan les dades personals es tractin amb finalitats d’investigació científica o històrica o finalitats estadístiques de conformitat amb l’article 89, apartat 1 del RGPD, la persona interessada tindrà dret, per motius relacionats amb la seva situació particular, a oposar-se al tractament de dades personals que el concerneixin, llevat que sigui necessari per al compliment d’una missió realitzada per raons d’interès públic.

Dret a no ser objecte d’una decisió individual automatitzada, inclosa l’elaboració de perfils basada únicament en el tractament automatitzat, que produeixi efectes jurídics en ell o l’afecti significativament d’una manera similar.

Aquests drets esmentats hauran de ser garantits i, a més, gestionats en la mesura que siguin exercits per les persones interessades, tenint present a tal efecte el seu abast, les seves particularitats i les seves limitacions.

L’atenció i gestió d’aquests drets es durà a terme a través de la Delegada de Protecció de Dades de VERANDA amb qui la persona interessada pot contactar a través de dpd@veranda.tv

Prestació de serveis per tercers

Quan es realitzi un tractament per compte de VERANDA, només es triarà un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives adequades, de manera que el tractament es produeixi d’acord amb els requisits del RGDP i garanteixi la protecció dels drets de les persones interessades.
Es prohibirà a l’encarregat del tractament recórrer a un altre encarregat sense l’autorització prèvia per escrit, específica o general, del responsable, informant-lo que, en cas d’autorització, haurà d’informar al responsable de qualsevol canvi previst en la incorporació o substitució d’altres encarregats, de manera que el responsable disposi de l’oportunitat d’oposar-se als canvis esmentats.

Sempre es regularà per escrit la relació amb els tercers encarregats del tractament, per mitjà d’un contracte d’encàrrec del tractament, que vinculi l’encarregat en relació al responsable i estableixi l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories de persones interessades, i les obligacions i els drets del responsable.

Registre d’Activitats

VERANDA portarà un registre que contindrà la informació següent que s’indica tot seguit:

  • El nom i les dades de contacte de VERANDA com a entitat responsable i, en el seu cas, si n’hi hagués, de tercers corresponsables i del representant del responsable;
  • El nom i les dades de contacte del delegat de protecció de dades;
  • Les finalitats del tractament;
  • Una descripció de les categories de persones interessades;
  • Una descripció de les categories de dades personals;
  • Les categories de destinataris a qui es van comunicar o es comunicaran les dades personals, inclosos els destinataris en tercers països o organitzacions internacionals;
  • Els destinataris en tercers països o organitzacions internacionals, és a dir, les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d’aquest tercer país o organització internacional i, en el seu cas, la documentació de garanties adequades;
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades;
  • Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

Mesures de seguretat

Amb l’objectiu de complir els requisits de seguretat establerts en el RGPD, VERANDA ha establert mesures de seguretat per al tractament de dades de caràcter personal en el desenvolupament de les seves activitats, tenint present l’estat de la tècnica, les costes d’aplicació i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques titulars de les dades.

Les mesures esmentades són de diversa naturalesa (mesures tècniques, organitzatives, documentals, de gestió, de control, d’auditoria, documentals i disciplinàries) totes elles destinades a assolir el nivell de seguretat adequat al risc dels tractaments i en particular a garantir:

  • la capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament;
  • la capacitat de restaurar la disponibilitat i l’accés a les dades personals de manera ràpida en cas d’incident físic o tècnic;
  • un procés de verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i organitzatives per a garantir la seguretat del tractament.

Les mesures s’han implantat avaluant en particular els riscos que poden presentar els tractaments de dades com a conseqüència de la destrucció, pèrdua o alteració accidental o il·lícita de les dades personals transmeses, conservades o tractades d’altra manera, o la comunicació o accés no autoritzats a les dades esmentades.

Entre les mesures de seguretat es destaquen les polítiques de seguretat establertes per als treballadors així com el seu compromís de confidencialitat i deure de secret de la informació.

Deure de secret

Un principi bàsic i personal per a tota persona que intervingui en el tractament de dades personals és la seva obligació de secret professional pel que fa a les dades esmentades i el seu deure de guardar-les, subsistint aquestes obligacions encara després d’haver finalitzat les seves relacions amb VERANDA o, en el seu cas, amb l’encarregat del tractament.

Per tant, no es pot revelar, sota cap concepte, informació de caràcter personal a terceres persones diferents de la persona interessada, malgrat existeixi vincle de parentiu (ni tan sols verbalment), llevat que s’estableixi per Llei o per autorització expressa de la persona interessada.

Moviment internacional de dades personals

Qualsevol departament que necessiti transferir dades de caràcter personal fora de l’Espai Econòmic Europeu, ho consultarà prèviament amb dpd@veranda.tv

Només es duran a terme transferències de dades personals que siguin objecte de tractament, o que ho hagin de ser en un futur, després de la seva transferència a un tercer país o organització internacional si, tant VERANDA com els responsables i els encarregats del tractament que intervinguin en la transferència, compleixen les condicions establertes en el RGDP, incloses les relatives a les transferències ulteriors de dades personals des del tercer país o organització internacional a un altre tercer país o una altra organització internacional.

Consultes

Qualsevol consulta o suggeriment en relació amb la present política, podrà ser consultada a VERANDA a través de dpd@veranda.tv.