1- Propósito, alcance y usuarios
NexTReT Ciberseguridad, SL, en lo sucesivo, la «Empresa», se esfuerza por cumplir con las leyes y reglamentos aplicables relacionadas con la protección de datos personales en los países donde opera.
La presente política tiene por objeto establecer la política de seguridad de la información para, en base a los requisitos dispuestos en el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), esta política establece los principios básicos por los cuales la Empresa trata los datos personales de consumidores, clientes, proveedores, socios comerciales, empleados y otras personas, e indica las responsabilidades de sus departamentos comerciales y empleados mientras trata los datos personales.
Esta política se aplica a la Empresa y sus subsidiarias controladas de forma directa o indirecta que realizan negocios dentro del Área Económica Europea (AEE) o procesan los datos personales de los interesados dentro del AEE.
Los usuarios de esta política son todos los empleados, permanentes o temporales, y todos los contratistas que trabajan en nombre de la Empresa, así como los usuarios web que accedan a los dominios y páginas web de NexTReT Ciberseguridad, S.L. y sus subsidiarias.
Como punto fundamental de la política está la implantación, operación y mantenimiento de un SGSI (Sistema de Gestión de la Seguridad de la Información) propio.
Aspectos básicos de la política de seguridad de la Empresa:
- Asegurar la confidencialidad, integridad y disponibilidad de la información.
- Cumplir todos los requisitos legales aplicables.
- Definir las funciones del responsable de seguridad, encargado del sistema de gestión la seguridad de la información SGSI.
- Garantizar un uso adecuado de la información de carácter personal que la empresa gestiona.
- Formar, concienciar e informar a todos los empleados de sus funciones y obligaciones en relación a la seguridad de la información.
- Gestionar adecuadamente todas las incidencias ocurridas.
- Tener un plan de continuidad que permita recuperarse de un desastre en el menor tiempo posible.
- Mejorar de forma continua el SGSI y por ende, la seguridad de la información de la organización.
2- Referencias
- La ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
- El RGPD EU 2016/679 (Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE)
- ISO 27001
- ENS
3- Definiciones
Las siguientes definiciones de términos utilizados en esta política, provienen del Artículo 4 del Reglamento General de Protección de Datos de la Unión Europea:
3.1. Datos personales
Toda información sobre una persona física identificada o identificable, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona física. Datos personales incluye la dirección de correo electrónico de una persona física, número de teléfono, información biométrica (como huella dactilar), datos de ubicación, dirección IP, información de atención médica, creencias religiosas, número de seguro social, estado civil, etcétera.
3.2. Datos personales sensibles
Datos personales que son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que la divulgación de dichos datos podría ocasionar daños físicos, pérdidas financieras, daños a la reputación, robo de identidad o fraude o discriminación, etc. Los datos personales sensibles normalmente incluyen, pero no se limitan a la revelación de los datos personales de origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliaciones sindicales, datos genéticos, datos biométricos (huella dactilar), dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona física.
3.3. Tratamiento
Una operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, limitación, borrado o destrucción de los datos.
3.4. Responsable del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
3.5. Encargado del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, trate los datos por cuenta del responsable del tratamiento
3.6. Anonimización
Eliminar de forma irreversible la identificación de datos personales de modo que no sea posible la vinculación directa o indirecta con una persona física de dichos datos.
3.7. Autoridad de control
La Agencia Española de Protección de Datos según define el GDPR en el artículo 4, apartado 21, como la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.
4- Principios generales para el tratamiento de datos personales
4.1. Legalidad, imparcialidad y transparencia
Los datos personales deben ser tratados de forma legal, imparcial y transparente en relación con los interesados.
4.2. Limitación de la finalidad y base de legimitación
Los datos personales de los interesados deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Finalidades y bases de legitimación:
Finalidades | Bases legales del tratamiento |
---|---|
Mantener el contacto y la comunicación, gestionar la posible relación contractual/pre-contractual | Relación Contractual |
Remitir a clientes actuales, mediante comunicaciones electrónicas, información sobre nuestras actividades, productos y/o servicios similares a los solicitados. Elaboración de perfiles Instalación de cookies técnicas Realización de encuestas de opinión/satisfacción |
Interés Legítimo |
Remitir a clientes potenciales, mediante comunicaciones electrónicas, información sobre nuestras actividades, productos y/o servicios similares a los solicitados. Instalación de cookies no técnicas Participar en eventos, actividades, promociones, organizados por las empresas del Grupo NexTReT Gestión de procesos de selección y de los CV recibidos al efecto. |
Consentimiento |
Cesiones derivadas de normativa tributaria/consumidores y usuarios, laboral y de seguridad social | Cumplimiento de una obligación legal |
Transmisiones de datos entre empresas del Grupo NexTReT para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados, según el Considerando 48 RGPD. | Interés Legítimo |
Cuando la legitimación se base en el consentimiento podrá retirar ese consentimiento en cualquier momento remitiéndonos un e-mail en tal sentido a rgpd@nextret.net. Dicha retirada no condicionará el tratamiento de sus datos para el resto de las finalidades descritas. Cuando el tratamiento de datos personales tenga como base de legitimación nuestro interés legítimo, consideraremos que éste es proporcionado y supone un impacto mínimo en la esfera de privacidad del interesado, pero siempre prevalecerán, sobre nuestro interés legítimo, los intereses, derechos o libertades del interesado, por lo que, si no desea que tratemos sus datos para estas finalidades remítanos por favor un e-mail en tal sentido a rgpd@nextret.net y así lo haremos. |
4.3. Minimización de datos
Los datos personales de los interesados deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. El responsable de seguridad debe aplicar anonimización o seudonimización a los datos personales si es posible para reducir el riesgo concerniente a los interesados.
4.4. Exactitud
Los datos personales de los interesados deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
4.5. Limitación del plazo de conservación
Los datos personados no deben ser conservados más de lo necesario para los fines para los cuales los datos personales son tratados, de acuerdo con el RGPD y la LOPDGDD.
Los datos personales facilitados por los usuarios interesados los conservaremos mientras se mantenga la relación contractual, precontractual o comercial y, una vez terminadas estas, mientras la persona interesada no solicite su supresión. Incluso solicitada la supresión, podremos mantenerlos durante el tiempo necesario y limitando su tratamiento, únicamente para:
- Cumplir con las obligaciones legales/contractuales a que estemos sometidos,
- Y/o durante los plazos legales previstos para la prescripción de cualquier responsabilidad por nuestra parte,
- Y/o el ejercicio o la defensa de reclamaciones derivadas de la relación mantenida con la persona interesado/a.
En coordinación con los criterios anteriores, la supresión de datos personales bien en registros informáticos, bien en papel, podrá llevarse a cabo, a criterio de la organización, en función de necesidades logísticas y/o de espacio de almacenamiento que hagan aconsejable suprimir información o documentación.
4.6. Integridad y confidencialidad
Teniendo en cuenta el estado de la tecnología y otras medidas de seguridad disponibles, el coste de implementación y la probabilidad y gravedad de los riesgos, se deben aplicar medidas técnicas u organizativas apropiadas para tratar los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
4.7. Responsabilidad proactiva
Los responsables del tratamiento serán responsables del cumplimiento de los principios descritos anteriormente y serán capaces de demostrarlo.
5- Política de Seguridad
5.1. Objetivos
La política de seguridad de la Empresa tiene por objetivo marcar las pautas de alto nivel a seguir para que todos los tratamientos de datos de carácter personal se realicen de forma segura y únicamente por personal autorizado, así como proteger la información de la organización, ante posibles pérdidas de confidencialidad, integridad y/o disponibilidad.
5.2. Alcance
El alcance de esta política se circunscribe a todos los departamentos de la Empresa.
5.3. Planificación
Las actuaciones necesarias para cumplir con la declaración de la política de seguridad pasan por la implantación, operación y mantenimiento de un SGSI (Sistema de Gestión de la Seguridad de la Información), que en todo momento está alineado con esta política.
En la fase de planificación se incluye como punto fundamental un estudio de la seguridad de la compañía a través de un análisis de riesgos e impacto y el establecimiento de su correspondiente plan de tratamiento de riesgos no aceptados por la organización.
La implantación del SGSI es responsabilidad principal del responsable del tratamiento (o responsable del SGSI) apoyado en todo momento por personal técnico y con el total apoyo de gerencia.
En base a los resultados obtenidos en la fase de planificación se implantan determinados controles de seguridad, además de operar los procedimientos del SGSI para dar cumplimiento al RGPD y LOPDGDD.
5.4. Revisión
La política de seguridad de la información y el SGSI son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica son revisados anualmente junto con los procesos de auditoría interna del SGSI.
Existen procedimientos de monitorización que aportan información sobre el correcto desempeño del SGSI.
La dirección también juega un importante papel en la revisión del sistema, realizando un profundo análisis del sistema y encontrando posibles mejoras y deficiencias.
Con todos estos datos de entrada, se realiza una revisión global por parte del comité de seguridad.
5.5 Mejora
Las posibles mejoras de la política de seguridad de la información y del SGSI son establecidas bien durante las fases de revisión o bien en base a aportaciones que se consideren interesantes tanto de personal de la Empresa como de personal externo.
Dichas mejoras son evaluadas y una vez estudiada su viabilidad, son implementadas, operadas y mantenidas. Todo el SGSI se enmarca dentro del ciclo de Demming (ciclo PDCA), su implantación y operación, su revisión y su posterior mejora. Todo ello aplicado a la seguridad de la información.
6- Directrices de tratamiento
Los datos personales deben ser tratados única y exclusivamente, sólo cuando sea autorizado de forma explícita por la Empresa.
6.1. Aviso a los interesados
En el momento de la recogida o antes de recoger datos personales para cualquier tipo de actividades se procederá a informar a los interesados sobre:
- Legitimación (que datos recogemos).
- La finalidad (con qué objetivo).
- Retención (Tiempo que se guardaran los datos).
- Derechos del usuario (Cuales son los derechos y como ejercerlos).
- Donde estarán alojados los datos.
- Reclamaciones (Donde y como presentar reclamaciones).
Cuando los datos personales son compartidos con un tercero, deberá asegurarse de que los interesados han sido notificados de ello mediante un aviso de privacidad y que el tercero cumple con lo establecido en el RGPD y la LOPDGDD.
6.2. Obtención de consentimiento
En el momento de la recogida o antes de recoger datos personales para cualquier tipo de actividades se deberá proceder a solicitar el consentimiento explícito del interesado para cada una de las finalidades del tratamiento.
Esto se realizará siempre que sea posible, mediante un formulario en el que se reflejaran cada una de las finalidades del tratamiento junto con unas casillas de verificación, donde el interesado deberá indicar «si» o «no», a la solicitud del consentimiento. En el caso de que el usuario no realice una acción afirmativa, indicando claramente la opción «si», se entenderá que no consiente la recogida y tratamiento.
7- Organización y responsabilidades
La responsabilidad de garantizar el tratamiento adecuado de los datos personales recae en todos los empleados de la Empresa, así como terceros que intervengan en dicho tratamiento.
El comité de seguridad y la dirección de la Empresa, tomarán decisiones y aprobarán las estrategias generales de la Empresa en temas de protección de datos personales y podrán delegar funciones específicas en terceros con el objetivo de garantizar un tratamiento adecuado.
8- Tratamiento transfronterizo de datos personales
Procuraremos que los datos personales estén siempre tratados y ubicados en el Espacio Económico Europeo (EEE). No obstante, en determinadas circunstancias, podremos hacer transferencias internacionales de datos, por ejemplo, en caso de que sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre la empresa del Grupo NexTReT con la que haya contratado el cliente y otra persona física o jurídica; o en caso de que sea necesaria para la ejecución de un contrato entre el interesado y la empresa del Grupo NexTReT con la que haya contratado el cliente, por ejemplo al utilizar proveedores de servicios ubicados fuera de la Unión Europea, que pueden tener acceso a datos personales, para la prestación de servicios (a título meramente enunciativo y no limitativo: alojamiento, housing, XaaS, copias de seguridad en remoto, servicios de soporte o mantenimiento informático, gestores de correo electrónico, envío de e-mails y e-mail marketing, transferencia de archivos, etc.) o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
Estas entidades pueden ser diferentes y variar a lo largo del tiempo pero, procuraremos elegir entidades, bien pertenecientes a países que cuenten con nivel de protección equivalente al europeo en materia de protección de datos, o que cuenten con las garantías adecuadas para alcanzar ese nivel, o bien se realizarán sobre la base de alguna de las excepciones previstas al efecto en el RGPD.
9- Gestión de Proveedores
El departamento que contrate un nuevo suministrador tendrá que tener en cuenta los posibles riesgos de seguridad derivados del servicio prestado, para ello se le exigirá que cumpla con el RGPD y la LOPDGDD.
En el caso de que este proveedor deba realizar tareas de tratamiento de datos personales, deberá firmar un contrato de tratamiento de datos personales «CONTRATO DE PRESTACIÓN DE SERVICIOS Y ENCARGO DE TRATAMIENTO DE DATOS PERSONALES».
10- Gestión de Incidencias
Toda incidencia en materia de seguridad deberá comunicarse, siguiendo el procedimiento establecido. Dicha notificación será realizada de forma inmediata a su superior jerárquico o al responsable de seguridad de la información o quién delegue en su nombre. Una vez recibida será el encargado de darle seguimiento, completar las notificaciones establecidas en el procedimiento correspondiente, establecer las acciones para su corrección.
11- Continuidad de Negocio
Se contrarrestarán las interrupciones de las actividades empresariales y se protegerán los procesos críticos de negocio de los efectos derivados de fallos importantes o catastróficos de los sistemas de información.
La principal garantía de continuidad del negocio se basa en las copias de seguridad, el proceso y políticas del procedimiento de BACKUP.
Todos los empleados colaborarán en la oportuna reanudación de todos los servicios críticos para la Empresa en caso de una contingencia grave, ayudando de esta forma a que se restablezcan la mayoría de los servicios en el mínimo tiempo posible.
12- Cumplimiento Legal
Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información y los datos de carácter personal de la Empresa.
13- Ejercicio de derechos
Como interesado puede, cuando procedan, ejercitar sus derechos de acceso, rectificación, supresión, de limitación y oposición a su tratamiento, así como otros derechos, en la dirección de correo postal: Rambla Catalunya, 33, 08007-Barcelona, o por correo electrónico a: rgpd@nextret.net; en ambos casos mediante solicitud escrita y firmada adjuntando copia del DNI o pasaporte u otro documento válido que le identifique. En caso de modificación de sus datos deberá notificarlo en la misma dirección, declinando esta entidad toda responsabilidad en caso de no hacerlo.
- Derecho de acceso: Puede preguntarnos qué datos personales estamos tratando incluso solicitarnos una copia de estos.
- Derecho de rectificación: Puede solicitarnos la rectificación de los datos personales inexactos o que completemos los que sean incompletos, inclusive mediante una declaración adicional.
- Derecho de supresión (derecho al olvido): Puede solicitarnos la supresión de sus datos personales cuando: no sean necesarios para los fines para los que fueron recogidos, retire su consentimiento, haya habido un tratamiento ilícito de los mismos o por cumplimiento de una obligación legal.
- Derecho a la limitación del tratamiento: Puede solicitarnos la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.
- Derecho de oposición: Puede oponerse al tratamiento que se haga se sus datos si dicho tratamiento se base en el interés legítimo del responsable de tratamiento o es para fines publicitarios.
- Derecho a la portabilidad: Puede recibir sus datos personales, en un formato estructurado, de uso común y lectura mecánica, para transmitirlos a otro responsable del tratamiento siempre que el tratamiento se efectúe por medios automatizados y cuando el tratamiento se base en el consentimiento o un contrato.
Una vez recibida cualquiera de las anteriores solicitudes le responderemos en los plazos legalmente establecidos.
Si considerara que sus datos personales no han sido tratados adecuadamente según la legislación vigente, puede contactar con la Agencia Española de Protección de Datos y presentar una reclamación ante la Autoridad de Control: www.aepd.es.
14- Validez
Esta política es válida a partir de 14/02/2023