POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES

ENKADOR S.A.

Introducción

La presente Política, denominada también Código Ético o de Conducta, es redactada para cumplir con lo dispuesto en el Art. 53 de la Ley Orgánica de Protección de Datos Personales publicada en el Registro Oficial Suplemento N° 459 de 26 de mayo de 2021. Es una norma específica para ENKADOR, a quien también se le denomina como “responsable del tratamiento”. Este Código deberá ser actualizado cuando la autoridad de Regulación en esta materia emita la normativa secundaria, en todo lo que fuera pertinente. El hecho de que la empresa haya aprobado este Código de mutuo propio y anticipándose a su obligación legal, demuestra la buena fe en el tratamiento de datos y debe ser considerado un atenuante en caso de que se considere ha cometido una infracción, pues precisamente su intención es proteger los datos de los titulares de la manera más garantista posible. El acceso y el tratamiento de los datos personales de usuarios y clientes, y el uso de la información almacenada en sus bases de datos serán de utilización exclusiva de la empresa para el cumplimiento de lo acordado con cada usuario o cliente, así como también para efectos de contacto y comunicación. Asimismo, las bases de datos podrán ser compartidas con personas o empresas relacionadas y sus socios comerciales.

Resumen

Los datos personales sólo podrán obtenerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Los titulares de los datos personales darán su consentimiento y entregarán los datos exactos, completos y actualizados. Si resultaren inexactos o incompletos, deberán rectificarse o completarse en el plazo de diez días desde que se conoció su inexactitud, salvo que la ley establezca otro plazo. Los datos personales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad que motivó su tratamiento, o cuando lo solicite el titular en el ejercicio de su derecho de eliminación o rectificación.

Articulado

Artículo 1.- Definiciones.-

A los efectos del presente Código, debe entenderse por:

Cancelación: Procedimiento en virtud del cual la empresa deja de usar los datos, los bloquea para impedir su tratamiento. Solamente pueden quedar disponibles para: contestar requerimientos de autoridades y para que la empresa se pueda defender de posibles denuncias por indebido tratamiento (en este caso, solamente se mantendrán accesibles para ella hasta que llegue el plazo de prescripción de tales acciones. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Cesión o comunicación de datos: Es cualquier revelación de datos personales. Puede ser individual, parcial o de un fichero completo realizada a una persona distinta del responsable.

Consentimiento: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el titular acepte el tratamiento de sus datos personales para las finalidades especificadas.

Dato disociado: Aquél que no permite la identificación de su titular.

Dato especial: Son los datos sensibles, crediticios, de salud, de niños y adolescentes, de personas discapacitadas y fallecidas.

Datos personales: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas naturales identificadas o identificables. Se considerarán datos personales, entre otros, la dirección personal de correo electrónico y el número de teléfono, siempre que permitan identificar a su titular. Se considerará persona natural identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Una persona natural no se considerará identificable si para lograr dicha identificación se requieren plazos o procesos complejos y desproporcionados.

Encargado del tratamiento: La persona natural o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por su relación con la empresa.

Fichero o Base de Datos: Conjunto estructurado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Menor: Niños o adolescentes que no han cumplido 18 años para emitir su consentimiento.

Procedimiento de disociación o anonimización de datos: Tratamiento de datos personales hecho de tal manera que la información que se obtenga no pueda asociarse a una persona identificada o identificable. Disociar es el proceso por el cual se elimina información de un conjunto de datos para proteger la privacidad de los individuos descritos por estos datos. El objetivo de la disociación es hacer posible la distribución o publicación de datos preservando el anonimato del titular.
La disociación debe distinguirse de la seudonimización, ya que esta última permite la identificación de las personas tras un proceso de asociación de los datos con códigos asignados. Es decir, mientras que en un procedimiento de disociación los datos no pueden atribuirse a una persona identificada o identificable de forma absoluta; en un proceso de seudonimización es posible atribuir los datos a una persona utilizando procedimientos o información adicional. A diferencia de los datos disociados, los datos seudonimizados pueden identificar a una persona al utilizar la información adicional.

Publicidad (engloba la promoción de ventas, el marketing directo y la venta directa): Toda forma de comunicación realizada por una persona natural o jurídica, pública o privada, en el ejercicio de una actividad comercial, artesanal o profesional, con el fin de promover de forma directa o indirecta la contratación de bienes, servicios, derechos y obligaciones o con el fin de promover determinadas actitudes o comportamientos.

Responsable del tratamiento: La empresa cuando por sus actividades trata datos personales, determinando las finalidades y medios del tratamiento.

Soporte: Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

Tercero: La persona natural o jurídica, pública o privada u órgano administrativo distinta del cliente, del responsable, del encargado y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento.

Titular: Cualquier persona natural cuyos datos personales sean objeto de tratamiento.

Transferencia o comunicación: Cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales.

Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio ecuatoriano, como cesión o comunicación de datos, o si tiene por objeto la realización de un tratamiento de datos por cuenta del mismo responsable.

Tratamiento de Datos: Operación o conjunto de operaciones o procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.

Validación o comprobación: Actividad de control de calidad realizada en cualquier fase de un proceso de investigación.

Video-streaming: Retransmisión de video por internet.

Artículo 2.- Ámbito de aplicación.-

El presente Código de Conducta se aplicará a los tratamientos efectuados por la empresa en cumplimiento de su objeto social, entre ellas, pero sin limitarse a:

  1. Tratamientos de datos personales (realizados como responsable o encargado) destinados a captar e identificar a clientes y/o proveedores. Esta participación puede ser consciente o no (por ejemplo, en un estudio de tipo mystery shopping).
  2. Tratamientos de datos personales (realizados como responsable o encargado) destinados a la comunicación y/o entrega de incentivos o promociones.
  3. Tratamientos de datos personales (realizados como encargado) de personas naturales suministrados por terceros para la consecución de los fines de la compañía.

Artículo 3.- Principios generales.-

Sin perjuicio de otros principios constantes en las normas jurídicas, son principios para el tratamiento de datos personales los siguientes: 

  1. Juridicidad.- Los datos personales deben tratarse con estricto apego a la normativa y jurisprudencia aplicable.
  2. Lealtad.- Para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando alguno o algunos de sus datos personales , así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.
  3. Transparencia.- Toda información o comunicación relativa al tratamiento de datos personales deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.
  4. Finalidad.- Las finalidades del tratamiento deben ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados.
    El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
  5. Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
  6. Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos. 
  7. Confidencialidad.- El tratamiento se hará sobre la base del sigilo y secreto, es decir, no deben transmitirse a menos que sea indispensable y que concurra una de las causales que habiliten la transmisión. 
  8. Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación.
    No le será imputable la inexactitud de los datos personales, cuando:
    1. Hubiesen sido obtenidos directamente del titular.
    2. Hubiesen sido obtenidos de un intermediario en caso de que las normas aplicables establecieran esa posibilidad.
    3. Fuesen obtenidos de un registro público.
  9. Conservación.- Los datos personales serán conservados durante el tiempo necesario para cumplir con la finalidad de su tratamiento. Se establecerán plazos para supresión o revisión periódica.
    La conservación ampliada de tratamiento de datos personales únicamente en caso de que las normas jurídicas así lo dispongan, los contratos en los cuales se los requiera aplicar sigan vigentes, con fines de archivo en interés público, fines de investigación científica, histórica o estadística, para ello se establecerán garantías de seguridad y protección oportunas y necesarias.
  10. Seguridad de datos personales.- La empresa implementará las medidas de seguridad adecuadas y necesarias, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto. 
  11. Responsabilidad proactiva y demostrada.- La empresa implementará mecanismos para la protección de datos personales. La implementación y cumplimiento de esta Política es una prueba de esa responsabilidad. Sin embargo, podrá implementar otras como estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.
    La empresa como tratador de datos personales está obligada a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales.

Artículo 4.- Datos personales.-

Los datos personales han sido definidos en el artículo dos de esta Política.

Cuando se recogen de forma pasiva datos que no contienen identificación personal de los interesados (por ejemplo, un conteo), no serán aplicables las normas relativas a la protección de datos.

El dato se considera personal y por tanto protegido, independientemente del medio en el cual se conserve (sistema informático, papel o video).

Es dato personal cualquiera de los siguientes:

EJEMPLO DATOS PERSONALES
NOMBRE
DIRECCION
TELEFONO
MAIL
CEDULA
REGISTROS SANITARIOS
INGRESOS
INFORMACION BANCARIA
HISTORIA CLINICA
LOCALIZACIÓN POR TELÉFONO MOVIL
DIRECCION DE IP
IDENTIFICADOR DE UNA COOKIE

Artículo 5.- Reglas generales del tratamiento.-

Todo tratamiento de datos personales debe quedar registrado y deberá cumplir todos y cada uno de los términos de esta Política, así como las obligaciones legales vigentes en cada momento.

Como parte del procedimiento de adhesión a este Código de Conducta, todo el personal de la empresa que maneje datos personales se obligará a protegerlos de forma adecuada y a cumplir con este código y las leyes de la materia.

Las siguientes son operaciones del tratamiento de datos personales para las que se deberá cumplir lo dispuesto en este documento:

OPERACIONES DE TRATAMIENTO DEDATOS PERSONALES
OBTENCIÓN
REGISTRO
ORGANIZACIÓN
ESTRUCTURACIÓN
CONSERVACIÓN
ADAPTACIÓN / MODIFICACIÓN
ELIMINACIÓN
INDEXACIÓN
EXTRACCIÓN
CONSULTA
UTILIZACIÓN / CESIÓN
COMUNICACIÓN O TRANSFERENCIA
DIFUSIÓN / DISTRIBUCIÓN
SUPRESIÓN / ELIMINACIÓN

Artículo 6.- Tratamiento de Datos especiales.-

Los datos especiales han sido definidos en el artículo dos de esta Política.

No pueden tratarse datos personales especiales salvo que sea estrictamente necesario y siempre que se cumplan los presupuestos establecidos en las normas jurídicas pertinentes.

Artículo 7.- Obtención de datos de carácter personal.-

Se permite la obtención de datos de acuerdo con las finalidades debidamente justificadas por la empresa para sus fines lícitos.

Se prohíbe la recogida de datos personales por medios fraudulentos, desleales o ilícitos.

Se prohíbe la recogida masiva o indiscriminada de direcciones de correo electrónico en páginas web o servicios online a través de cualesquiera tecnologías o medios (práctica conocida como “harvesting”), así como la creación de direcciones de correo electrónico usando combinaciones aleatorias de nombres, letras y números en la esperanza de generar direcciones válidas (práctica conocida como “dictionary attacks”).

Artículo 8.- Consentimiento para el tratamiento de datos de carácter personal.-

Se podrán tratar y comunicar datos personales cuando se cuente con el consentimiento del titular para hacerlo.

El consentimiento será válido, cuando la manifestación de la voluntad sea:

1. Libre, es decir, cuando se encuentre exenta de vicios del consentimiento;
2. Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento;
3. Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia;
4. Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular.

El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, deberá realizarse por un procedimiento sencillo y gratuito.

El tratamiento realizado antes de revocar el consentimiento es lícito. La revocatoria no tendrá efectos retroactivos.strong>

Artículo 9.- Derechos del titular en relación a sus datos personales.-

Son los siguientes:

1. A la información
2. Al acceso
3. A la rectificación y/o actualización
4. A la oposición
5. A la eliminación
6. A la portabilidad

Artículo 10.- Derecho a la Información.- La empresa deberá informar al titular de los datos personales, al menos lo siguiente:

1. Los fines del tratamiento
2. La base legal bajo la cual los tratará
3. Los tipos de tratamiento que llevará a cabo
4. El tiempo límite de conservación
5. La existencia o no de bases de datos en donde se incluyan sus datos personales
6. Los datos de contacto del responsable del tratamiento
7. Las transferencias o comunicaciones nacionales o internacionales que se harán con sus datos.
8. Las consecuencias del titular de la entrega de los datos o de su negativa.
9. La posibilidad del titular de revocar su consentimiento.
10. El lugar y la oportunidad para presentar reclamos.
11. La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

Artículo 11.- Derecho al acceso.-

El titular tiene derecho a conocer y a obtener gratuitamente, todos sus datos personales sin necesidad de presentar justificación alguna. Estas peticiones deben ser atendidas dentro del plazo de quince (15) días y serán gratuitas.

Artículo 12.- Derecho de rectificación / actualización.-

El titular tiene el derecho a obtener del responsable la rectificación y actualización de sus datos personales inexactos o incompletos. Cuando sea pertinente, el titular deberá presentar los justificativos del caso. El responsable deberá atender el requerimiento en un plazo de quince (15) días y en este mismo plazo, deberá informar al destinatario de los datos, de ser el caso, sobre la rectificación. NOTA: las excepciones al ejercicio de este derecho están en el artículo 17.

Artículo 13.- Derecho de eliminación.-

El titular tiene derecho a que la empresa suprima sus datos personales, cuando:

1) El tratamiento no cumpla con los principios establecidos en la ley;
2) El tratamiento no sea necesario o pertinente para la finalidad;
3) Los datos hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
4) Haya vencido el plazo de conservación de los datos;
5) El tratamiento afecte derechos fundamentales o libertades individuales;
6) El titular revoque el consentimiento o señale no haberlo otorgado para uno o varios fines específicos; o,
7) Exista obligación legal.

La empresa implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación se deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del titular y será gratuita. NOTA: las excepciones al ejercicio de este derecho están en el artículo 17.

Artículo 14.- Derecho de Oposición.-

El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, si:

1) No se afectan derechos de terceros;
2) La ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley;
3) El tratamiento de datos personales tiene por objeto la mercadotecnia directa;
4) Es necesario su consentimiento para el tratamiento.

La empresa dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular. Esta solicitud deberá ser atendida dentro del plazo de quince (15) días y será gratuita. NOTA: las excepciones al ejercicio de este derecho están en el artículo 17.

Artículo 15.- Derecho de portabilidad.-

El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales o a transmitirlos a otros responsables. Luego de completada la transferencia de datos, el responsable que lo haga procederá a su eliminación, salvo que el titular disponga su conservación. La empresa cumplirá con la normativa que dicte la Autoridad de Protección de Datos Personales para la portabilidad. No procederá este derecho cuando se trate de información recibida a partir de la cual el responsable haya realizado un proceso de personalización, recomendación, categorización o creación de perfiles. NOTA: las excepciones al ejercicio de este derecho están en el artículo 17.

Artículo 16.- Derecho a la supresión del tratamiento.-

El titular tendrá derecho a que se suspenda el tratamiento cuando se cumpla alguna de las condiciones siguientes:

1) Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos;
2) Cuando el tratamiento sea ilícito;
3) Cuando la empresa ya no necesite los datos personales para los fines del tratamiento.

Artículo 17.- Excepciones al ejercicio de ciertos derechos de los titulares.-

No procede el ejercicio del derecho de rectificación, actualización, eliminación, oposición, anulación y portabilidad en los siguientes casos:

1. Si el solicitante no es el titular de los datos o su representante legal;
2. Cuando los datos sean necesarios para el cumplimiento de una obligación legal o contractual;
3. Cuando los datos sean necesarios para el cumplimiento de una orden judicial, resolución o mandato motivado de autoridad pública competente;
4. Cuando los datos sean necesarios para la formulación, ejercicio o defensa de reclamos o recursos;
5. Cuando se pueda causar perjuicios a derechos o afectación a intereses legítimos de terceros – lo cual debe ser acreditado por el responsable al momento de dar respuesta;
6. Cuando se pueda obstaculizar actuaciones judiciales o administrativas en curso, debidamente notificadas;
7. Cuando los datos sean necesarios para ejercer el derecho a la libertad de expresión y opinión;
8. Cuando los datos sean necesarios para proteger el interés vital del interesado o de otra persona natural;
9. En los casos en los que medie el interés público, -sujeto a estándares internacionales de derechos humanos, al cumplimiento de los principios de la ley y a los criterios de legalidad, proporcionalidad y necesidad;
10. Cuando el tratamiento de datos personales sea necesario para el archivo de información que constituya patrimonio del Estado, investigación científica, histórica o estadística.

Artículo 18.- SOLICITUD PARA EJERCER LOS DERECHOS.-

Para que un titular pueda acceder a cualquiera de sus derechos, deberá presentar una solicitud a la empresa que contendrá como mínimo:

- Nombre, apellidos del cliente y fotocopia de CI del mismo y, en su caso, de la persona que lo represente, así como el documento acreditativo de tal representación. También se admitirán otros medios válidos en derecho (Sentencia firme de incapacitación, etc.);
- Petición en que se concreta la solicitud;
- Domicilio a efectos de notificaciones, fecha y firma del solicitante;
- Documentos acreditativos de la petición que formula, en su caso.

Si la empresa considera que lo solicitado no se puede cumplir, lo comunicará al solicitante motivadamente y por escrito dejando constancia de la recepción de esa respuesta por parte del solicitante. La empresa deberá recibir y atender las solicitudes ejercidas por el solicitante aun cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto, siempre y cuando acredite el envío y la recepción de la solicitud. La empresa conservará los soportes (físicos o electrónicos) en los que conste el cumplimiento de todos sus deberes relacionados con los datos personales, durante el tiempo que la ley obliga la conservación de datos.

Artículo 19.- Llamadas de teléfono.-

Cuando, por cualquier actividad, se realicen llamadas telefónicas, la empresa informará al entrevistado cómo obtuvo su número. En caso de utilizar una base de datos, la empresa se asegurará de que los sujetos que forman parte de ella sabían que podían ser contactados y dieron su consentimiento.

Artículo 20.- Uso de cookies y dispositivos similares.-

Las cookies son pequeños ficheros de datos generados a través de instrucciones enviadas por los servidores web a los programas navegadores de los usuarios, y que se guardan en un directorio específico del terminal de aquéllos, con el objetivo de reunir información compilada por el propio fichero. En caso de tener páginas web o aplicaciones en la actualidad o en el futuro, la empresa proveerá a los usuarios información clara y comprensible sobre la presencia y la finalidad de las cookies u otros dispositivos o técnicas similares, poniendo a su disposición mecanismos sencillos y gratuitos para informarles sobre cómo desactivarlas o dándoles la alternativa de no aprobar su uso. Asimismo, se avisará de forma clara cuándo queda imposibilitado el acceso o la utilización de un servicio interactivo por ser necesario el envío e instalación de cookies u otros dispositivos o técnicas similares en el terminal del usuario. Las cookies u otras técnicas se utilizarán de forma disociada y nunca individualizada o relacionada a los datos personales de los usuarios, de forma que la información que se obtenga no pueda asociarse a persona identificada o identificable, salvo que el titular haya dado su consentimiento. En particular, cuando se utilicen cookies o pixels transparentes u otras técnicas asimilables, se proporcionará a los usuarios información clara y comprensible sobre su objetivo y de su utilización desvinculada de cualquier dato de carácter personal. El tratamiento de las cookies es extrapolable por analogía a otras técnicas de monitorización de la conducta de los usuarios en su utilización de medios electrónicos de comunicación a distancia.

Artículo 21.- Análisis de riesgo.-

La empresa deberá realizar un análisis de los riesgos de los tratamientos de datos y documentar los resultados de dicho análisis. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de los titulares, la empresa realizará antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Si de esa evaluación se concluye que a la empresa no le es posible tomar medidas para mitigar el riesgo, deberá consultar a la Autoridad antes de comenzar el tratamiento. Se tendrá especial cuidado con datos de geolocalización o cuando el tratamiento perfile negativamente a un grupo de personas identificadas individualmente.

Artículo 22.- Seguridad y protección de datos.-

La empresa aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la presente Política y la legislación aplicable.

Dichas medidas se revisarán y actualizarán cuando sea necesario.

La empresa aplicará, tanto en el momento de organizar el tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas concebidas para proteger los datos, las cuales pueden ser, según corresponda:

- La disociación, una vez que se haya finalizado el propósito por el cual se tratan los datos personales, en caso de que se conserven.

- La minimización de datos personales de forma que sólo se traten aquellos que sean necesarios para la finalidad del tratamiento. Por ejemplo, no pedir la edad o el género, cuando no sea necesario.

- La garantía de que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esto afecta tanto a la “cantidad” de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. La empresa deberá implantar medidas técnicas y organizativas para evitar que los datos personales se conserven sin control. Por ejemplo, borrando los ficheros temporales (con datos personales) empleados para contactar con los titulares de datos, una vez que ya no es necesario contactarles.

- La garantía de que, por defecto, los datos personales no sean accesibles a un número indeterminado de colaboradores de la empresa. Por ejemplo, estableciendo claves por usuario para acceder a los recursos informáticos donde se conserven los datos personales.

- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

- Los procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Artículo 23.- Notificación de violaciones de seguridad.-

La empresa deberá notificar la vulneración de seguridad de datos personales a la autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, a más tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Al titular notificará solamente cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales. No deberá notificar al titular en los siguientes casos:

1. Cuando la empresa haya adoptado medidas de protección efectivas;

2. Cuando la empresa haya tomado medidas que garanticen que no ocurrirá ningún riesgo para los derechos fundamentales y las libertades individuales del titular; y,

3. Cuando se requiera un esfuerzo desproporcionado para hacerlo; en cuyo caso, la empresa deberá realizar una comunicación pública a través de cualquier medio en la que se informe de la vulneración de seguridad de datos personales a los titulares.

Artículo 24.- Infracciones por parte de trabajadores, proveedores o subcontratistas de la empresa.-

En caso de que la infracción a las normas sobre el tratamiento de datos personales se haya perpetrado por la culpa o dolo de un trabajador, proveedor o subcontratista de la empresa o un tercero, la empresa tendrá derecho de terminar el contrato de trabajo previo visto bueno, o de terminar el contrato civil de manera anticipada y sin ningún tipo de indemnización en su contra, así como de ejercer la repetición sobre esa persona, por el valor total de los daños directos o indirectos que tal conducta le hubiera causado, entre ellos la multa que la autoridad hubiera impuesto.

Artículo 25.- Contacto y reclamaciones.-

Los titulares podrán ejercer sus derechos, presentar solicitudes y reclamaciones en materia de protección de datos, previstos en esta Política y en la Ley Orgánica de Protección de Datos Personales, enviando un correo electrónico a mmartinez@enkador.com y seg_industrial@enkador.com

  

Contact Us
  • Recent Searches
  • hilos de bordar prime 2
  • 786116 128