POLÍTICA DE PROTECCIÓN DE DATOS
1. Declaración política
2. Responsabilidades y funciones en virtud del Reglamento General de Protección de Datos
3. Principios de protección de datos
4. Derechos de los interesados
5. Consentimiento
6. Seguridad de los datos
7. Divulgación de datos
8. Conservación y eliminación de datos
9. Transferencias de datos
10. Registro de activos de información/inventario de datos
11. Definiciones
1. Declaración política
1.1. El Consejo de Administración y la dirección de alfanar, situada en alfanar Building, Northern Ring Road,
Between Exit 5 & 6, Al-Nafal, Riad, Reino de Arabia Saudí, se comprometen a cumplir todas las leyes locales pertinentes de la UE y de los Estados miembros en materia de datos personales y de protección de los "derechos y libertades de las personas".
las leyes locales pertinentes de la UE y de los Estados miembros con respecto a los datos personales, y a la protección de los "derechos y
libertades" de las personas cuya información alfanar recopila y procesa de conformidad con el Reglamento General de Protección de Datos (RGPD).
Reglamento General de Protección de Datos (GDPR).
1.2. Tlos procedimientos previstos y descritos en esta política tienen en cuenta la organización y estructura de alfanar, el tratamiento de datos de carácter personal realizado por alfanar y la legislación aplicable en materia de protección de datos de carácter personal.
tratamiento de datos personales realizado por alfanar y, asimismo, la legislación aplicable en materia de datos personales.
1.3. El cumplimiento del RGPD se describe en esta política y en referencia a los Sistemas Integrados de Gestión
junto con los procesos y procedimientos conexos.
1.4. Esta política se aplica a todos los empleados de alfanar que traten datos personales de residentes en la UE, incluidos aquellos
los datos personales de clientes, empleados, proveedores y socios, así como cualquier otro dato personal
datos personales que la organización procese de cualquier fuente.
1.5. alfanar ha establecido objetivos de protección de datos y privacidad, que se encuentran en el Sistema de Gestión de Datos Personales
Personal (tal y como se define a continuación) y en el Registro de Objetivos GDPR (GDRP-REC-10).
1.6. El Comité GDPR es responsable de revisar anualmente el registro de tratamiento a la luz de cualquier cambio
en las actividades de alfanar (determinados por los cambios en el registro de inventario de datos y la
revisión) y a cualquier requisito adicional identificado mediante evaluaciones de impacto de la protección de datos.
Este registro debe estar disponible a petición de la autoridad de control.
1.7. Cualquier infracción del GDPR o de este PIMS (según se define a continuación) se tratará conforme a la política disciplinaria de alfanar
y también puede constituir un delito penal, en cuyo caso el asunto se comunicará lo antes posible a las
autoridades competentes.
1.8. Los socios y cualesquiera terceros que trabajen con o para alfanar, y que tengan o puedan tener acceso a datos personales, deberán haber leído, entendido y cumplir la presente política.
deberán haber leído, comprendido y cumplido esta política. Ningún tercero podrá acceder a
datos personales que obren en poder de alfanar sin haber suscrito previamente un acuerdo de tratamiento de datos personales que
imponga al tercero obligaciones a las que alfanar se comprometa, y que otorgue a alfanar el derecho a
auditar el cumplimiento del acuerdo.
Sistema de gestión de la información personal (PIMS)
Declaración política
Para apoyar el cumplimiento del GDPR, el Consejo de Administración ha aprobado y apoyado el
desarrollo, implantación, mantenimiento y mejora continua de un sistema documentado de gestión de la información
personal documentado ("PIMS") para alfanar.
Se espera que todos los empleados de alfanar y los terceros externos identificados en el PIMS (GDPR-REC-10)
cumplan con esta política y con el PIMS que implementa esta política. Todos los empleados, y determinadas
externos, recibirán la formación adecuada. Las consecuencias del incumplimiento de esta política se establecen en la política disciplinaria de alfanar
política disciplinaria de alfanar y en los contratos y acuerdos con terceros.
Al determinar su alcance para el cumplimiento del GDPR, alfanar considera:
• cualquier cuestión externa e interna que sea relevante para el propósito de alfanar y que afecte a su capacidad para
para lograr los resultados previstos de su PIMS;
• necesidades y expectativas específicas de las partes interesadas que sean relevantes para la aplicación del
del PIMS;
• objetivos y obligaciones de la organización;
• el nivel de riesgo aceptable para la organización; y
• cualquier obligación legal, reglamentaria o contractual aplicable.
• La declaración de alcance del PIMS está documentada aquí GDPR-REC-12
objetivos de alfanar para el cumplimiento del GDPR y un PIMS:
• sean coherentes con esta política
• son medibles
• tener en cuenta el GDPR y los resultados de las evaluaciones y tratamientos de riesgos
• se comunican (de acuerdo con el Procedimiento de Comunicación)
• se actualizan según proceda (de acuerdo con el Procedimiento de Mejora Continua)
• alfanar documenta esos objetivos en el registro de objetivos del PIMS y del GDPR (GDRP-REC-10)
Para alcanzar estos objetivos, alfanar ha determinado:
• qué se hará
• qué recursos serán necesarios
• quién será responsable
• cuándo se completará
• cómo se evaluarán los resultados
2. Responsabilidades y funciones en virtud del Reglamento General de Protección de Datos
2.1. alfanar es un procesador de datos bajo el GDPR.
2.2. La Alta Dirección y todos aquellos que desempeñan funciones de gestión o supervisión en alfanar son responsables de
desarrollar y fomentar buenas prácticas de tratamiento de la información dentro de alfanar; las responsabilidades se establecen
en la descripción de cada puesto de trabajo.
2.3. El comité GDPR es responsable ante el Consejo de Administración de alfanar de la gestión de los datos personales
dentro de alfanar y de garantizar que pueda demostrarse el cumplimiento de la legislación sobre protección de datos y de las buenas prácticas
buenas prácticas. Esta responsabilidad incluye:
2.3.1. sensibilización y formación del personal implicado en las operaciones de tratamiento de datos;
2.3.2. cooperación y contacto con la autoridad de control en asuntos relacionados con el tratamiento de
datos personales;
2.3.3. realizar revisiones de las prácticas y procedimientos existentes en materia de protección de datos para garantizar
la mejora continua y el cumplimiento de las mejores prácticas disponibles
2.3.4. información y orientación del responsable del tratamiento sobre sus obligaciones derivadas del RGPD;
2.3.5. desarrollo y aplicación del RGPD, tal como exige esta política
2.3.6. seguridad y gestión de riesgos en relación con el cumplimiento de la política.
2.4. El Comité de GDPR tiene responsabilidades específicas en relación con procedimientos como el Procedimiento de solicitud de acceso del sujeto y es el primer punto de contacto para los empleados que buscan aclaraciones sobre cualquier aspecto de los datos.
El Comité GDPR tiene responsabilidades específicas en relación con procedimientos tales como el Procedimiento de Solicitud de Acceso del Sujeto y es el primer punto de contacto para los empleados que buscan aclaraciones sobre cualquier aspecto del cumplimiento de la protección de datos.
El Comité GDPR tiene responsabilidades específicas en relación con procedimientos tales como el Procedimiento de solicitud de acceso del sujeto y es el primer punto de contacto para los empleados que buscan aclaraciones sobre cualquier aspecto del cumplimiento de la protección de datos.
El Comité GDPR tiene responsabilidades específicas en relación con procedimientos tales como el Procedimiento de Solicitud de Acceso del Sujeto y es el primer punto de contacto para los empleados que buscan aclaraciones sobre cualquier aspecto del cumplimiento de la protección de datos.
de protección de datos.
2.5. El cumplimiento de la legislación sobre protección de datos es responsabilidad de todos los Empleados de alfanar que traten
datos personales.
2.6. La Política de Formación de alfanar establece requisitos específicos de formación y concienciación en relación con funciones específicas y
empleados de alfanar en general.
2.7. Los empleados de alfanar son responsables de que los datos personales que les conciernan y que hayan facilitado a alfanar sean exactos y estén actualizados.
a alfanar sean exactos y estén actualizados
3. Principios de protección de datos
Todo tratamiento de datos personales debe realizarse de conformidad con los principios de protección de datos establecidos en el artículo 5 del RGPD.
5 del RGPD. Las políticas y procedimientos de alfanar están diseñados para garantizar el cumplimiento de los principios.
3.1. Los datos personales deben tratarse de forma lícita, leal y transparente en relación con el interesado y, como tales
sólo pueden ser objeto de tratamiento en la medida de las necesidades específicas de cada Empleado, de acuerdo con sus
respectivas funciones y siempre en el desempeño de éstas y, asimismo, respecto de
(i) para los fines y demás finalidades para los que se consintió el tratamiento de los datos y/o se informó al
interesado
(ii) para los principios de tratamiento de datos aquí descritos y
(iii) para todo lo demás previsto en esta póliza y cualesquiera otros documentos pertinentes emitidos por alfanar sobre esta
materia.
Legal – identificar una base jurídica antes de poder tratar datos personales. A menudo se denominan
"condiciones del tratamiento", por ejemplo, el consentimiento.
Fairly – Para que el tratamiento sea leal, el responsable del tratamiento debe poner a disposición de los interesados, en la medida de lo posible, determinada información.
a los interesados en la medida de lo posible. Esto se aplica tanto si los datos personales se han obtenido directamente de los interesados como de otras fuentes.
o de otras fuentes.
El RGPD ha aumentado los requisitos sobre la información que debe estar a disposición de los interesados, lo que
en el requisito de "Transparencia".
Transparencia – el RGPD incluye normas sobre el suministro de información sobre privacidad a los interesados en los artículos 12, 13
y 14. Estas normas son detalladas y específicas, y hacen hincapié en que los avisos de privacidad sean comprensibles y accesibles.
accesibles. La información debe comunicarse al interesado de forma inteligible, utilizando un lenguaje claro y sencillo.
lenguaje claro y sencillo.
El Procedimiento de Aviso de Privacidad de alfanar está establecido en el portal y el Aviso de Privacidad está registrado en (GDPR-REC-13).
La información específica que debe facilitarse al interesado debe incluir, como mínimo:
3.1.1. la identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
3.1.2. los datos de contacto del responsable de la protección de datos;
3.1.3. los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del
el tratamiento;
3.1.4. el periodo durante el cual se almacenarán los datos personales;
3.1.5. la existencia de los derechos a solicitar el acceso, la rectificación, la supresión o a oponerse al tratamiento, y
las condiciones (o la ausencia de condiciones) para el ejercicio de estos derechos, por ejemplo, si la legalidad del tratamiento anterior se verá afectada.
anterior;
3.1.6. las categorías de datos personales de que se trate;
3.1.7. los destinatarios o categorías de destinatarios de los datos personales, en su caso;
3.1.8. en su caso, que el responsable del tratamiento se propone transferir datos personales a un destinatario en un tercer país
y el nivel de protección de los datos;
3.1.9. cualquier otra información necesaria para garantizar un tratamiento justo.
En el caso de actividades de tratamiento de datos personales realizadas sobre la base de un consentimiento explícito e inequívoco,
los empleados deben poner a disposición de los interesados, antes o en el momento de la recogida de datos, las "condiciones de
aceptación" vigentes en cada momento.
Cada vez que un empleado tenga dudas en relación con las versiones de las "condiciones de aceptación" en vigor o con
relación con qué versiones deben tenerse en cuenta respecto a una situación específica, deberá ponerse en contacto directamente con
con el Comité GDPR o con su superior directo, quienes, a su debido tiempo, informarán al empleado sobre cómo proceder.
El empleado no procederá a la recogida de datos personales hasta haber recibido las instrucciones oportunas.
En el caso de actividades de tratamiento de datos personales realizadas en el contexto de acciones emprendidas a petición
del interesado con anterioridad a la celebración de un contrato, los Empleados que establezcan y mantengan contacto
con los interesados durante dicha fase precontractual, deberán garantizar que la información facilitada anteriormente
se comunique adecuadamente al interesado y que quede constancia de dicha comunicación.
Durante la fase precontractual, los Empleados deberán poner a disposición de los interesados, para su firma, los
borradores actualizados de los documentos contractuales en vigor, asegurándose de que, en cualquier caso, los últimos borradores
se refieran explícitamente al tratamiento de los datos personales de los interesados y, en particular, a la
información antes mencionada.
3.2. Los datos personales sólo pueden recogerse con fines específicos, explícitos y legítimos.
3.2.1. Los datos obtenidos para fines específicos no deben utilizarse para un propósito que difiera de los formalmente
notificados a la autoridad de control como parte del registro de tratamiento GDPR de alfanar. Procedimiento de privacidad
establece los procedimientos pertinentes.
3.3. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para su tratamiento.
3.3.1. El comité GDPR es responsable de garantizar que alfanar no recopile ni procese información
que no sea estrictamente necesaria para el fin para el que se obtiene (consulte la Herramienta DPIA para el flujo/mapeo de datos
de datos).
3.3.2. Los empleados deben abstenerse de tratar datos personales, incluido el simple acceso o consulta, cada
vez que ello no sea necesario para el correcto ejercicio de sus funciones.
3.3.3. Todos los formularios de recogida de datos (electrónicos o en papel), incluidos los requisitos de recogida de datos en nuevos
sistemas de información, deben incluir una declaración de tratamiento leal o un enlace a la declaración de privacidad y
aprobados por el comité del GDPR
3.3.4. El comité GDPR garantizará que, anualmente, todos los métodos de recopilación de datos sean revisados por
expertos externos para garantizar que los datos recopilados siguen siendo adecuados, pertinentes y no excesivos
(Procedimiento de evaluación del impacto de la protección de datos y herramienta DPIA (GDPR-REC-06).
3.4. Los datos personales deben ser exactos y mantenerse actualizados, haciendo todo lo posible por borrarlos o rectificarlos sin demora.
3.4.1. El Jefe de RR.HH. es responsable de garantizar que todos los Empleados que traten los datos personales estén
formados en la importancia de recoger datos exactos y mantenerlos.
3.4.2. No debe conservarse ningún dato a menos que sea razonable suponer que es exacto.
3.4.3. También es responsabilidad del interesado asegurarse de que los datos en poder de alfanar son exactos y están actualizados.
actualizados. La cumplimentación de un formulario de inscripción o solicitud por parte del interesado incluirá una declaración de que
los datos contenidos en el mismo son exactos en la fecha de su presentación.
3.4.4. Los empleados y clientes deberán notificar a alfanar cualquier cambio en sus circunstancias para permitir la actualización de sus registros personales.
alfanar hará todo lo posible para garantizar la exactitud de los registros, pero no se responsabilizará de la inexactitud de los datos si el titular de los mismos no ha hecho todo lo razonablemente posible.
exactos, pero no será responsable de la inexactitud de los datos si el interesado no ha hecho un esfuerzo razonable para informar a la organización.
esfuerzo razonable para informar a la organización. Es responsabilidad de alfanar asegurarse de que cualquier notificación
relativa a un cambio de circunstancias quede registrada y se actúe en consecuencia.
3.4.5. El comité GDPR es responsable de garantizar que se aplican los procedimientos y políticas adecuados
para mantener los datos personales exactos y actualizados, teniendo en cuenta el volumen de datos recopilados, la
velocidad a la que pueden cambiar y cualquier otro factor pertinente.
3.4.6. Como mínimo una vez al año, el comité GDPR revisará las fechas de conservación de todos los datos personales
procesados por alfanar, por referencia al inventario de datos, e identificará cualquier dato que ya no sea
necesarios en el contexto de la finalidad registrada. Estos datos se eliminarán/destruirán de forma segura de acuerdo con
con el Procedimiento de eliminación segura de soportes de almacenamiento
3.4.7. El comité GDPR es responsable de responder a las solicitudes de rectificación de los interesados
en el plazo de un mes (Procedimiento de Solicitud de Acceso del Sujeto). Este plazo puede ampliarse a otros dos meses
para solicitudes complejas. Si alfanar decide no atender la solicitud, el comité GDPR debe
responder al interesado para explicarle su razonamiento e informarle de su derecho a reclamar ante la
autoridad de control e interponer un recurso judicial.
3.4.8. El comité GDPR es responsable de tomar las medidas oportunas para que, en caso de que a terceras
organizaciones puedan haber recibido datos personales inexactos o no actualizados, para informarles de que la
información es inexacta y/o está obsoleta y no debe utilizarse para fundamentar decisiones sobre los
personas afectadas; y para transmitir cualquier corrección de los datos personales al tercero cuando sea
sea necesario.
3.5. Los datos personales deben conservarse de tal forma que el interesado sólo pueda ser identificado durante el tiempo que sea necesario
para el tratamiento.
3.5.1. Cuando los datos personales se conserven más allá de la fecha de tratamiento, se reducirán al mínimo para proteger
la identidad del interesado en caso de violación de los datos.
3.5.2. Los datos personales se conservarán de acuerdo con el Procedimiento de Conservación de Registros, que se revisará
cada dos años; una vez superada su fecha de conservación, deberán destruirse de forma segura según lo establecido en este
procedimiento.
3.5.3. El comité GDPR debe aprobar específicamente cualquier retención de datos que exceda los períodos de retención
definidos en el Procedimiento de Conservación de Registros y debe garantizar que la justificación esté claramente identificada
y en línea con los requisitos de la legislación de protección de datos. Esta aprobación debe hacerse por escrito.
3.6. Normas especiales a tener en cuenta sobre grabación y almacenamiento:
3.6.1. Los datos se almacenan preferentemente en formato digital.
3.6.2. La grabación y almacenamiento por medios físicos sólo se permitirá en aquellos casos en que la grabación
se haya realizado a través de dichos medios y cuando existan motivos legales y/o contractuales para conservar
los documentos originales y, asimismo, cuando el almacenamiento por medios físicos sea necesario para acreditar el
cumplimiento del deber de informar al interesado de las condiciones del tratamiento de datos
y, además, del deber de obtener el consentimiento del interesado si la base del tratamiento de datos es
el consentimiento.
3.6.3. En aquellas situaciones en las que sea necesario u obligatorio almacenar los datos personales por medios físicos
de acuerdo con el párrafo anterior, los Empleados deben garantizar que dichos medios físicos se guardan en
un lugar cerrado con llave y de acceso restringido; ningún documento o papel que contenga datos personales debe dejarse a la
a la vista, independientemente de que esté en papel o en cualquier otro dispositivo, electrónico o no electrónico ("escritorio limpio");
En las reuniones y visitas internas y externas, todo el material utilizado debe sacarse de las salas de reuniones, incluidos los documentos que contengan información escrita.
salas de reuniones, incluidos los documentos que contengan notas escritas.
3.6.4. Los datos pueden almacenarse preferentemente en ficheros estructurados de datos personales, centralizados y accesibles según
criterios específicos. Los empleados deben abstenerse de replicar o reproducir, parcial o totalmente
cualquier fichero de bases de datos existentes, debiendo procurar y promover, siempre que sea posible, bases de datos únicas y
centralizadas, sin perjuicio de posibles copias de seguridad.
3.7. Los datos personales deben tratarse de forma que se garantice la seguridad adecuada
3.7.1. Se adoptarán medidas técnicas y organizativas apropiadas contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida o destrucción accidentales o daños causados a los datos personales.
tratamiento no autorizado o ilícito de datos personales y contra la pérdida, destrucción o daño accidentales de datos personales.
3.7.2. Estos controles se han seleccionado en función de los riesgos identificados para los datos personales, y del potencial de
daño o perjuicio a las personas cuyos datos se tratan.
3.7.3. El cumplimiento de este principio por parte de Alfanar está recogido en las políticas y procedimientos de su Sistema de Gestión de la Información.
procedimientos.
3.7.4. Los controles de seguridad estarán sujetos a auditoría y revisión.
4. Derechos de los interesados
4.1. Los interesados tienen los siguientes derechos en relación con el tratamiento de datos y los datos que se registran sobre ellos:
4.1.1. Presentar solicitudes de acceso relativas a la naturaleza de la información conservada y a quién se ha revelado.
divulgada.
4.1.2. Impedir los tratamientos que puedan causar daños o molestias.
4.1.3. Impedir el tratamiento con fines de mercadotecnia directa.
4.1.4. Estar informados sobre la mecánica del proceso automatizado de toma de decisiones que les afectará significativamente.
4.1.5. A que las decisiones importantes que les afecten no se tomen únicamente mediante procedimientos automatizados.
4.1.6. A demandar una indemnización si sufren daños por cualquier contravención del GDPR.
4.1.7. A emprender acciones para rectificar, bloquear, borrar, incluido el derecho al olvido, o destruir los datos inexactos.
4.1.8. Solicitar a la autoridad de control que evalúe si se ha contravenido alguna disposición del RGPD.
contravenido.
4.1.9. Derecho a que se le faciliten los datos personales en un formato estructurado, de uso común y lectura mecánica,
y derecho a que esos datos se transmitan a otro responsable del tratamiento.
4.1.10. Oponerse a la elaboración de perfiles automatizados sin su consentimiento.
4.2. alfanar garantiza a los interesados el ejercicio de estos derechos:
4.2.1. Los interesados pueden presentar solicitudes de acceso a los datos tal como se describe en el Procedimiento de solicitud de acceso del interesado.
procedimiento también describe cómo alfanar garantizará que su respuesta a la solicitud de acceso a los datos cumpla
con los requisitos del GDPR.
4.2.2. Los interesados que deseen reclamar a alfanar sobre el tratamiento de sus datos personales
pueden presentar su reclamación directamente por correo electrónico a dataprotection@alfanar.com
5. Consentimiento
5.1. alfanar entiende por "consentimiento" el otorgado de forma explícita y libre, y una indicación
e inequívoca de la voluntad del interesado que, mediante una declaración o una clara acción afirmativa
significa que está de acuerdo con el tratamiento de los datos personales que le conciernen. El interesado puede retirar
su consentimiento en cualquier momento.
5.2. alfanar entiende por "consentimiento" que el interesado ha sido plenamente informado del tratamiento previsto y ha manifestado su conformidad con el mismo, estando en condiciones de hacerlo y sin que medie presión alguna por su parte.
tratamiento previsto y ha manifestado su conformidad, estando en condiciones de hacerlo y sin que se haya ejercido sobre él presión alguna.
sobre él. El consentimiento obtenido bajo coacción o sobre la base de información engañosa no será una base válida para el tratamiento.
base válida para el tratamiento.
5.3. Debe existir algún tipo de comunicación activa entre las partes para demostrar el consentimiento activo. El consentimiento
no puede inferirse de la falta de respuesta a una comunicación. El responsable del tratamiento debe poder demostrar que
se obtuvo el consentimiento para la operación de tratamiento.
5.4. Para los datos sensibles, debe obtenerse el consentimiento explícito por escrito (procedimiento de consentimiento) de los interesados, a menos que exista una base legítima alternativa para el tratamiento.
exista una base legítima alternativa para el tratamiento.
5.5. En la mayoría de los casos, alfanar obtiene de forma rutinaria el consentimiento para el tratamiento de datos personales y sensibles utilizando
documentos de consentimiento estándar.
6. Seguridad de los datos
6.1. Todos los Empleados/Personal son responsables de garantizar que cualquier dato personal que alfanar posea y del que sean responsables
y de los que son responsables, se conserven de forma segura y no se revelen bajo ninguna circunstancia a terceros, a menos que éstos hayan sido
tercero haya sido específicamente autorizado por alfanar para recibir esa información y haya firmado un acuerdo de confidencialidad.
6.2. Todos los datos personales deben ser accesibles únicamente a quienes necesiten utilizarlos, y el acceso sólo puede concederse en
acuerdo con la Política de Control de Acceso. Todos los datos personales deben tratarse con la máxima seguridad y deben ser
conservarse:
• en una sala con cerradura y acceso controlado; y/o
• en un cajón o archivador cerrado con llave; y/o
• si están informatizados, protegidos por contraseña de acuerdo con los requisitos corporativos mencionados en la Política de control de acceso
de acceso
• almacenados en soportes informáticos (extraíbles) encriptados de acuerdo con la normativa sobre eliminación segura de soportes de almacenamiento
6.3. Hay que asegurarse de que las pantallas de los ordenadores y los terminales no sean visibles salvo para los empleados autorizados.
Todos los Empleados deben firmar un Acuerdo de Uso Aceptable antes de que se les dé acceso a
información organizativa de cualquier tipo, en el que se detallan las normas sobre el tiempo de espera en pantalla.
6.4. Los registros manuales no pueden dejarse en lugares a los que pueda acceder personal no autorizado y no pueden retirarse de los locales de la empresa sin autorización expresa.
retirarse de los locales de la empresa sin autorización expresa. En cuanto los documentos de archivo manuales
necesarios para la asistencia diaria al cliente, deben retirarse del archivo seguro.
6.5. Los datos personales sólo podrán suprimirse o eliminarse de conformidad con el Procedimiento de Conservación de Registros. Manual
que hayan alcanzado su fecha de conservación deben triturarse y eliminarse como "residuos confidenciales".
Los discos duros de los ordenadores redundantes deben retirarse y destruirse inmediatamente antes de su eliminación.
6.6. El tratamiento de datos personales "fuera de las instalaciones" presenta un riesgo potencialmente mayor de pérdida, robo o daño de los datos personales.
personales. El personal debe estar específicamente autorizado por el Comité GDPR para procesar datos fuera de las instalaciones.
7. Divulgación de datos
7.1. alfanar debe garantizar que los datos personales no se revelen a terceros no autorizados, entre los que se incluyen familiares
familiares, amigos, organismos gubernamentales y, en determinadas circunstancias, la Policía. Todos los empleados deben
actuar con cautela cuando se les pida que revelen datos personales de otra persona a un tercero. Es importante
importante tener en cuenta si la divulgación de la información es relevante y necesaria para la
el desarrollo de las actividades de alfanar.
El RGPD permite determinadas divulgaciones sin consentimiento siempre que la información se solicite para uno o varios de los siguientes fines
de los siguientes fines:
• para salvaguardar la seguridad nacional;
• prevención o detección de delitos, incluida la detención o el procesamiento de delincuentes;
• liquidación o recaudación de impuestos;
• desempeño de funciones reguladoras (incluye la salud, la seguridad y el bienestar de las personas en el trabajo);
• para evitar daños graves a terceros;
• proteger los intereses vitales del individuo, esto se refiere a situaciones de vida o muerte.
7.2. Todas las solicitudes de suministro de datos por uno de estos motivos deben estar respaldadas por la documentación adecuada y toda
estas divulgaciones deben ser autorizadas específicamente por el comité GDPR.
7.3. Los datos personales sólo podrán transmitirse a terceros (es decir, personas físicas o jurídicas que no sean alfanar o
sus Empleados, encargados del tratamiento o empleados de encargados del tratamiento o empresas del mismo grupo que alfanar) si:
7.3.1. Dicha transmisión ha sido explícitamente autorizada por el interesado, en cuyo caso la autorización
debe formar parte de las "condiciones de aceptación", según el caso; en estos supuestos, la transmisión sólo puede
sólo podrá efectuarse si el cesionario forma parte de la categoría o de una categoría de los destinatarios sobre los que el
previamente informado en las "condiciones de aceptación";
7.3.2. Dicha transmisión es necesaria para la estricta ejecución de un contrato del que el interesado forma
parte; en estos casos, la transmisión sólo podrá tener lugar si el cesionario forma parte de la categoría de un
categoría de destinatarios sobre la que se haya informado previamente al interesado en el propio contrato,
por correo electrónico o mediante cualquier otro documento complementario del contrato.
7.4. En aquellas situaciones en las que la transmisión de datos se lleve a cabo en virtud de un acuerdo de tratamiento (es decir, datos
transmitidos a un proveedor de servicios en virtud de una relación contractual de prestación de servicios y en cuyo contexto
el proveedor de servicios, para cumplir sus obligaciones contractuales, trata los datos personales por cuenta de y
siguiendo instrucciones de alfanar), los Empleados deben garantizar que, antes de que se produzca la transmisión, existe un
acuerdo firmado entre alfanar y el proveedor de servicios, solicitando la confirmación del Comité GDPR
que, a su vez, deberá informar al Empleado de la existencia de dicho acuerdo y confirmar
que cumple los requisitos prescritos en el artículo 28 del GDPR.
8. Conservación y eliminación de datos
8.1. alfanar no conservará datos personales en una forma que permita la identificación de los interesados durante un período más largo
del necesario, en relación con la finalidad o finalidades para las que se recogieron originalmente los datos.
8.2. alfanar podrá conservar los datos durante períodos más largos si los datos personales se tratarán únicamente con fines de archivo
en interés público o con fines estadísticos, siempre que se apliquen medidas técnicas y
organizativas adecuadas para salvaguardar los derechos y libertades del interesado.
8.3. El periodo de conservación de cada categoría de datos personales se establecerá en el Procedimiento de Conservación de Registros
junto con los criterios utilizados para determinar dicho periodo, incluida cualquier obligación legal que alfanar tenga de conservar
los datos.
8.4. en todos los casos se aplicarán los procedimientos de conservación y eliminación de datos de alfanar.
8.5. Los datos personales deben eliminarse de forma segura de acuerdo con el sexto principio del RGPD: procesados
de forma adecuada para mantener la seguridad, protegiendo así los "derechos y libertades" de los interesados.
Toda eliminación de datos se hará de acuerdo con el procedimiento de eliminación segura.
9. Transferencias de datos
9.1. Todas las exportaciones de datos desde el Espacio Económico Europeo (EEE) a países que no pertenecen a él
(denominados en el RGPD "terceros países") son ilegales a menos que exista un "nivel de protección adecuado
de los derechos fundamentales de los interesados".
La transferencia de datos personales fuera del EEE está prohibida a menos que se apliquen una o varias de las salvaguardias o excepciones especificadas.
o excepciones especificadas:
9.1.1. Una decisión de adecuación
La Comisión Europea puede evaluar, y de hecho evalúa, a terceros países, un territorio y/o sectores específicos dentro de
terceros países para evaluar si existe un nivel adecuado de protección de los derechos y libertades de las
las personas físicas. En estos casos, no se requiere autorización.
Se acepta que los países que son miembros del Espacio Económico Europeo (EEE) pero no de la UE
cumplen las condiciones para una decisión de adecuación.
La lista de países que actualmente cumplen los requisitos de adecuación de la Comisión se publica en el
Diario Oficial de la Unión Europea. http://ec.europa.eu/justice/data-protection/internationaltransfers/
adecuación/index_es.htm
9.1.2. Modelos de cláusulas contractuales
alfanar adoptará cláusulas contractuales tipo aprobadas para la transferencia de datos fuera del EEE.
9.1.3. Excepciones
A falta de una decisión de adecuación, de adhesión al Escudo de la privacidad, de normas corporativas vinculantes y/o de cláusulas contractuales
o cláusulas contractuales tipo, la transferencia de datos personales a un tercer país u organización internacional sólo tendrá lugar
una de las siguientes condiciones:
• el interesado ha dado su consentimiento explícito a la transferencia propuesta, tras haber sido informado de los
los posibles riesgos de dichas transferencias para el interesado debido a la ausencia de una decisión de adecuación y de
garantías adecuadas;
• la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento
o la aplicación de medidas precontractuales adoptadas a petición del interesado;
• la transferencia es necesaria para la celebración o ejecución de un contrato celebrado en interés de
del interesado entre el responsable del tratamiento y otra persona física o jurídica;
• la transferencia es necesaria por razones importantes de interés público;
• la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales; y/o
• la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando
el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
10. Registro de activos de información/inventario de datos
10.1. alfanar ha establecido un inventario de datos y un proceso de flujo de datos como parte de su enfoque para abordar los riesgos y las oportunidades a lo largo de su proyecto de cumplimiento del GDPR.
oportunidades a lo largo de su proyecto de cumplimiento del GDPR. el inventario de datos y el flujo de datos de alfanar determina.
• procesos empresariales que utilizan datos personales;
• fuente de datos personales;
• volumen de interesados;
• descripción de cada dato personal;
• actividad de transformación;
• mantiene el inventario de categorías de datos personales tratados;
• documenta la finalidad o finalidades para las que se utiliza cada categoría de datos personales;
• los destinatarios y posibles destinatarios de los datos personales;
• el papel del alfanar en todo el flujo de datos;
• sistemas y repositorios clave;
• cualquier transferencia de datos; y
• todos los requisitos de conservación y eliminación.
10.2. alfanar es consciente de los riesgos asociados al tratamiento de determinados tipos de datos personales.
10.2.1. alfanar evalúa el nivel de riesgo para las personas asociado al tratamiento de sus datos personales.
Se llevan a cabo evaluaciones de impacto sobre la protección de datos (DPIA) (Procedimiento DPIA y GDPR REC 4.4) en
relación con el tratamiento de datos personales por alfanar, y en relación con el tratamiento realizado por otras
organizaciones en nombre de alfanar.
10.2.2. alfanar gestionará cualquier riesgo identificado por la evaluación de riesgos con el fin de reducir la probabilidad de un
incumplimiento de esta política.
10.2.3. Cuando un tipo de tratamiento, en particular mediante el uso de nuevas tecnologías y teniendo en cuenta la naturaleza
alcance, contexto y fines del tratamiento pueda entrañar un alto riesgo para los derechos y libertades
de las personas físicas, alfanar realizará, con carácter previo al tratamiento, una EIPD del impacto de los
operaciones de tratamiento previstas sobre la protección de los datos personales. Una única EIPD podrá referirse a un conjunto de operaciones de
operaciones de tratamiento que presenten riesgos elevados similares.
10.2.4. Cuando, como resultado de una EIPD, quede claro que alfanar va a iniciar un tratamiento de datos personales
que podría causar daño y/o angustia a los interesados, la decisión sobre si alfanar
puede proceder o no debe ser elevada para su revisión al Comité GDPR.
10.2.5. El responsable de la protección de datos/propietario del GDPR deberá, si existen preocupaciones significativas, ya sea en cuanto al
daño potencial o angustia, o la cantidad de datos afectados, escalar el asunto a la autoridad de supervisión.
de control.
10.2.6. Se seleccionarán controles adecuados del Sistema Integrado de Gestión de alfanar y se aplicarán para
reducir el nivel de riesgo asociado con el tratamiento de datos individuales a un nivel aceptable, por referencia
a los criterios de aceptación de riesgos documentados de alfanar y a los requisitos del GDPR.
11. Definiciones
Establecimiento: el establecimiento principal del responsable del tratamiento en la UE será el lugar en el que el responsable del tratamiento
toma las principales decisiones sobre la finalidad y los medios de sus actividades de tratamiento de datos. El establecimiento
de un encargado del tratamiento en la UE será su centro administrativo. Si un responsable del tratamiento tiene su sede fuera de la
UE, tendrá que designar a un representante en la jurisdicción en la que opere el responsable del tratamiento para que actúe en su nombre y trate con los supervisores.
nombre del responsable del tratamiento y tratar con las autoridades de control.
• Datos personales: cualquier información relativa a una persona física identificada o identificable ("interesado"); una
persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un
identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.
• Categorías especiales de datos personales: datos personales que revelen el origen racial o étnico, las opiniones políticas
creencias religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos
datos biométricos para identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la
vida sexual o la orientación sexual de una persona física.
• Responsable del tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros
con otros, determine los fines y los medios del tratamiento de datos personales; cuando los fines y los
Cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por el Derecho de la Unión o de los Estados miembros.
para su designación podrán establecerse en el Derecho de la Unión o de los Estados miembros.
• Sujeto de los datos: cualquier persona viva que sea objeto de datos personales en poder de una organización.
• Tratamiento: toda operación o conjunto de operaciones efectuadas sobre datos personales o sobre conjuntos de datos personales
datos personales, por medios automatizados o no, como la recogida, registro, organización, estructuración, conservación
adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otro medio
puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.
• Elaboración de perfiles: es cualquier forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales relativos a una persona física o a analizar o predecir su rendimiento laboral, económico o social.
personales relativos a una persona física, o analizar o predecir su rendimiento laboral, situación
situación económica, localización, salud, preferencias personales, fiabilidad o comportamiento. Esta definición está vinculada al derecho del
del interesado a oponerse a la elaboración de perfiles y al derecho a ser informado de la existencia de la elaboración de perfiles, de las medidas
basadas en la elaboración de perfiles y de los efectos previstos de la elaboración de perfiles en la persona.
• Violación de datos personales: violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida
alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o tratados de otro modo.
El responsable del tratamiento tiene la obligación de notificar las violaciones de datos personales a la autoridad de control y
cuando la violación pueda afectar negativamente a los datos personales o a la intimidad del interesado.
• Consentimiento del interesado: toda manifestación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una clara acción afirmativa, manifiesta su acuerdo con el tratamiento.
consentimiento del interesado: toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la cual el interesado consiente, por declaración o mediante una clara acción afirmativa, el tratamiento de sus datos personales.
el tratamiento de datos personales.
• Niño: el GDPR define al niño como cualquier persona menor de 16 años, aunque la legislación de los Estados miembros puede reducir esta edad a 13 años.
por la legislación de los Estados miembros. El tratamiento de los datos personales de un niño sólo es lícito si se ha obtenido el consentimiento de sus padres o tutores.
del menor. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento es dado
o autorizado por el titular de la patria potestad sobre el menor
• Tercero: persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado,
el responsable del tratamiento, el encargado del tratamiento y las personas que, bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento, estén autorizadas
para tratar datos personales.
• Sistema de ficheros: cualquier conjunto estructurado de datos personales accesibles con arreglo a criterios específicos, ya sea
centralizados, descentralizados o dispersos sobre una base funcional o geográfica.
• Comité GDPR - este comité está formado por el Consejo de Administración, el Director de RRHH, Finanzas, el Responsable de Protección de Datos, el Director Ejecutivo de TI, CIS, Sistema y DO.
de Datos, Director Ejecutivo de TI, CIS, Sistema y DO.
• Grupo de Trabajo GDPR - este comité está formado por representantes de RRHH, Finanzas, Seguridad TI, Sistema
Sistemas, Garantía de Calidad
Propietario y aprobación del documento
El Propietario de este documento es responsable de garantizar que este procedimiento se revise en línea con los requisitos de revisión del GDPR.
requisitos del GDPR.
Una versión actualizada de este documento está a disposición de todos los miembros del personal en el portal alfanar y se publica
http://portal.alfanar.com
Esta versión del procedimiento es controlada y aprobada por el Consejo de Administración, Eng. Sabah Almutlaq.