POLÍTICA DE PROTECCIÓ DE DADES

Jordi Rosas Rafart amb CIF 77745612T domicili social a Disseminado mes buidasachs, s/n localitat viver i serrateix CP 08673. província Barcelona és responsable dels tractaments de dades de caràcter personal que realitza.

Jordi Rosas Rafart aplica el principi de responsabilitat activa en el tractament de les dades de caràcter personal, mantenint una constant posada al dia i una promoció de la millora contínua del sistema de protecció de dades. Manté tota la documentació i els registres a disposició de l’autoritat de control i dels encarregats del tractament aportant les evidències que demostrin el ferm compromís amb la protecció de les dades de caràcter personal.

Jordi Rosas Rafart garanteix:

  • El respecte a les llibertats i els drets fonamentals de les persones físiques
  • Que les dades són tractades de manera lícita, lleial i transparent
  • Que les dades tractades són exactes, adequades, pertinents i limitades en relació amb les finalitats per a les quals són recollides
  • Que els fins per als quals són recollits són explícits i legítims i que no són tractats de manera incompatible amb aquests fins.
  • Que les dades no es mantindran més enllà del temps necessari per a les finalitats per a les quals han estat recollides
  • Les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc.

En aquells tractaments de dades que comportin un alt risc per als drets i les llibertats de les persones Jordi Rosas Rafart realitzarà una avaluació d’impacte conforme es recull en aquest manual.

Així mateix, si hagués de designar un delegat de protecció de dades per a l’assessorament, la supervisió i la cooperació entre l’organització i l’autoritat de control es determinaran de conformitat amb l’art. 37 del Reglament (UE) 2016/679 i segons el que estableix aquest manual.

ABAST I ÀMBIT D’APLICACIÓ

Jordi Rosas Rafart està establerta a Espanya i realitza, per a l’exercici de les activitats, el tractament de dades de caràcter personal de ciutadans residents a la Unió Europea. És responsable del tractament de les dades personals. En representació legal actua Jordi Rosas Rafart.

Les activitats desenvolupades es poden resumir en les següents: GANADERIA,

AGRICULTURA I AGROTURISME.

Per al desenvolupament de les seves activitats, l’organització compta amb els centres següents: DISSEMINAT MAS BUIDASACHS, S/N de VIVER I SERRATEIX (08673 – Barcelona).

Els coresponsables del tractament, quan n’hi hagi, determinen de manera transparent i de mutu acord les responsabilitats respectives en el compliment de les obligacions imposades pel Reglament (UE) 2016/679. El contingut de l’acord es troba a l’Annex ACORD DE CORRESPONSABILITAT DEL TRACTAMENT DE LES DADES.

Les activitats de tractament realitzades per l’organització es recullen al Registre d’Activitats de Tractament del present manual. A l’esmentat registre queda recollit l’àmbit territorial de cadascuna de les activitats.

Per complir les obligacions com a encarregat del tractament, quan es tractin dades per compte de tercers i en virtut de l’art. 28 del Reglament (UE) 2016/679 cal atenir-se al que disposen les clàusules contractuals que s’afegeixen al contracte de prestació de serveis i que es recullen a l’annex CLÀUSULES CONTRACTUALS PER A LA PRESTACIÓ DE SERVEIS COM ENCARREGAT DEL TRACTAMENT.

Pel que fa al sistema de tractament i/o emmagatzematge de dades, l’organització realitza:

  • Tractament automatitzat de dades personals (Digital/Informàtica). Dades que són tractades de manera automatitzada o mecanitzada, és a dir, en format electrònic o digital mitjançant sistemes informàtics
  • Tractament no automatitzat de dades personals (Manual/Paper). Dades que són tractades de manera manual, sense cap sistema automatitzat, és a dir, les dades que es tracten exclusivament en format paper.

BASES DE LEGITIMACIÓ PER AL TRACTAMENT DE DADES

Identificació de la base legal sobre la qual es desenvolupa el tractament
 El Reglament (UE) 2016/679 conserva el principi establert a la Directiva 95/46 en virtut del qual tot tractament de dades personals ha de recolzar-se en una base jurídica que ho legitimi.

Estableix, com a regla general, que les dades personals han de ser tractades amb el consentiment de l’interessat, però admet qualsevol altra base legítima conforme a dret: relació contractual, interessos vitals de l’interessat o de tercers, obligació legal per al responsable, interès públic, etc.
Tenint en compte el principi general de «responsabilitat proactiva», és un requisit donar suport al tractament de les dades en una base que ho legitimi. Es té documentat linterès legítim en què es fonamenta cada activitat de tractament i així ho estableix el Registre dActivitats de Tractament.
Així mateix, tenint en compte el principi de transparència i d’informació, l’organització proporciona la base legal del tractament a tots els interessats com s’indica a l’apartat corresponent del present manual.

Licitud basada en el contracte de prestació de serveis

El tractament de les dades personals necessàries per a la correcta prestació dels serveis acordats contractualment fixa la base jurídica necessària per efectuar aquest tractament.
Només es demana el consentiment dels interessats si les finalitats són diferents de les acordades contractualment.

Licitud basada en el consentiment

El consentiment de linteressat podrà ser escrit, per mitjans electrònics o per veu (segons prioritat de lorganització i mode habitual de comunicació), conservant els registres a disposició de lautoritat de control. Es disposa dels continguts necessaris per demanar el consentiment dels interessats.

El consentiment en el cas de menors de 14 anys

L’article 8 del Reglament (UE) 2016/679 estableix noves pautes sobre el consentiment dels menors d’edat en el tractament de les dades personals per tal d’augmentar la privadesa de la informació.
El tractament de les dades personals d’un menor d’edat només es pot fundar en el consentiment quan sigui més gran de catorze anys. El tractament de les dades dels menors de catorze anys, fundat al consentiment, només és lícit si consta el del titular de la pàtria potestat o tutela, amb l’abast que determinin els titulars de la pàtria potestat o tutela.

Licitud basada en una obligació legal

El tractament de les dades personals necessàries per al compliment de les obligacions legals fixa la seva base jurídica a les normes establertes.
L’organització tracta les dades de caràcter personal dels seus empleats com a conseqüència inevitable i necessària de la relació laboral, i actuaria de manera enganyosa si intentés legitimar aquest tractament a través del consentiment. Per tant, l’organització no basa el tractament de les dades de caràcter personal dels seus empleats en el consentiment, sinó que utilitza el contracte laboral com a base jurídica.

Per al tractament de dades amb finalitat diferent al compliment d’una obligació legal (com el contracte laboral o la comunicació amb l’administració tributària o amb la seguretat social) cal atenir-se al que disposa l’apartat anterior (consentiment). 

Licitud per al tractament de les dades que no han estat demanades directament dels interessats

En cas que es tractin dades de caràcter personal que no han estat demanades directament dels interessats, es garanteix que els drets i llibertats dels interessats prevalen sobre els interessos legítims perseguits per l’organització, per exemple per a l’enviament de publicitat.

Així mateix, es garanteix que la font d’obtenció de les dades és una font d’accés públic i que els interessats no estan inscrits a la Llista Robinson.

TRACTAMENT DE CATEGORIES ESPECIALS DE DADES

El Reglament (UE) 2016/679 estableix a l’art. 9 les categories especials de dades referint-se a les dades sensibles que necessiten una protecció especial, ja sigui per la seva naturalesa o per la relació que puguin tenir amb els drets i les llibertats fonamentals de les persones i els aplica disposicions específiques quan el seu tractament pugui comportar alts riscos en la protecció de dades.
El Reglament (UE) 2016/679 estableix per defecte la prohibició del tractament d’aquestes categories de dades amb excepcions específiques per a quan l’interessat hagi donat el consentiment explícit o en el marc d’activitats legítimes per determinades associacions o fundacions l’objectiu de les quals sigui permetre l’exercici de les llibertats fonamentals.
També determina que es podran tractar dades sensibles quan hi hagi un interès públic fonamentat en la legislació vigent de cada país de la UE, per exemple en l’àmbit laboral, protecció social, pensions, sanitat o altres amenaces greus per a la salut.

Com a excepció a la prohibició per defecte exposada a l’apartat anterior, l’organització només tracta categories especials de dades quan:

  • L’interessat hagi donat el seu consentiment explícit per a fins específics (excepte si està prohibit per la legislació vigent).
  • És necessari per protegir els interessos vitals de linteressat, quan està incapacitat per donar el seu consentiment.
  • El tractament el realitza legítimament una organització sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical amb relació als seus fins.
  • L’interessat ha fet manifestament públiques les dades.

O quan el tractament està fonamentat en la legislació vigent:

  • Sota la responsabilitat de persones subjectes a l’obligació del secret professional.
  • Per a fins dassistència sanitària o social, medicina preventiva o laboral o diagnòstic mèdic inclosa lavaluació de la capacitat laboral del treballador.
  • Per a procediments judicials.
  • És necessari per complir la legislació laboral, o la de seguretat o protecció social o la de convenis col·lectius.
  • És necessari per raons dinterès públic en làmbit de la salut pública o lassistència sanitària.
  • És necessari per a fins darxiu en interès públic en investigacions científiques, històriques o estadístiques.

L’organització realitzarà tractament de dades basat en una elaboració de perfils que contempli la confecció de decisions individuals basades en un tractament automatitzat destinat a avaluar aspectes personals o analitzar o predir dades de salut, quan l’interessat ha donat el seu consentiment per a fins específics permesos per la legislació vigent o el tractament es realitzi per a fins d’interès públic o sota la supervisió de poder.

Quan l’organització pretengui realitzar tractaments que puguin afectar els drets fonamentals de les persones afectades es determinarà a través de l’anàlisi de riscos l’existència o no de riscos inherents al tractament que es vol fer. En cas de no poder reduir els riscos a límits tolerables caldrà fer una avaluació d’impacte tal com es determina a l’apartat corresponent.

Determinats tractaments requereixen la designació d’un delegat de protecció de dades. L’organització mantindrà un delegat de protecció de dades si escau, informant-ne, identificació i contacte, a tots els interessats.

TRANSPARÈNCIA I INFORMACIÓ ALS INTERESSATS.

El Reglament (UE) 2016/679 recull que la informació als interessats, tant pel que fa a les condicions dels tractaments que els afectin, com a les respostes als exercicis dels drets, s’haurà de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.
Segons la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, la informació bàsica que es facilita als interessats comprèn:
a) La identitat del responsable del tractament i del seu representant, si escau.
b) La finalitat del tractament.
c) La possibilitat d’exercir els drets establerts als articles 15 a 22 del Reglament (UE) 2016/679.
Si hi ha elaboració de perfils o s’elaboren decisions automatitzades, es facilita igualment aquesta informació.
Quan les dades personals no han estat obtingudes de l’afectat, es facilita als interessats la informació bàsica anterior juntament amb un enllaç que els permet accedir a tota la informació de les activitats de tractament de l’organització, incloent-hi les categories de dades objecte de tractament així com les fonts de què procedeixen les dades.

Les dades de caràcter personal podran ser cedides, prèvia autorització de l’interessat amb l’anàlisi prèvia de la cessió (les cessions poden estar basades en requisits legals o contractuals o en un requisit necessari per subscriure un contracte)

L’existència de decisions automatitzades i l’elaboració de perfils o la decisió d’adoptar-les estaran subjectes a l’anàlisi de riscos corresponent ia una avaluació d’impacte en cas que els riscos no hagin pogut ser reduïts a límits acceptables.

Abans de realitzar tractaments de dades personals per a una finalitat diferent de la que van ser recollits, es procedeix a fer una anàlisi dels riscos. Si el risc és acceptable es tractaran les dades amb la nova finalitat, sempre sota una base legal i s’inclourà a la informació que es facilita als interessats.

La informació que es facilita als interessats es recull als documents INFORMACIÓ I CONSENTIMENT.

Si les dades personals s’utilitzen per establir comunicació amb l’interessat, se us comunica la informació a què teniu dret en el moment de la primera comunicació i si està previst comunicar les dades a un altre destinatari, se us comunica la informació a més tard en el moment en què les dades personals són comunicades per primera vegada.

No cal informar els interessats quan ja disposen de la informació, quan la comunicació d’aquesta informació resulta impossible o suposa un esforç desproporcionat, quan la informació impossibilita o obstaculitza l’assoliment dels objectius del tractament, quan l’obtenció o la comunicació està establerta expressament per normes de dret aplicables, o quan les dades personals tenen caràcter confidencial sobre la base d’una obligació de
secret.

S’han evitat fórmules especialment farragoses i es fa servir un vocabulari que facilita la comprensió per part de qualsevol interessat.

Les clàusules informatives expliquen el contingut a què immediatament es refereixen de forma clara i accessible per als interessats, amb independència dels seus coneixements en la matèria.

La informació als interessats es facilita per escrit, inclosos els mitjans electrònics, fins i tot es facilita verbalment, amb l’acreditació prèvia de la identitat de l’interessat.

DRETS DELS INTERESSATS
Procediment per a l’exercici i obligacions per al responsable.

Amb caràcter general, el Reglament (UE) 2016/679 exigeix ​​als responsables que facilitin als interessats lexercici dels seus drets. Aquest mandat suposa que els procediments i formes per fer-ho han de ser visibles, accessibles i senzills. El Reglament (UE) 2016/679 no estableix una manera concreta per a l’exercici de drets, però sí que requereix als responsables que possibilitin la presentació de sol·licituds per mitjans electrònics, especialment quan el tractament es realitza
per aquests mitjans.

Jordi Rosas Rafart garanteix que l’exercici d’aquests drets és gratuït per a l’interessat, sempre que les sol·licituds no siguin manifestament infundades o excessives, especialment repetitives, i correspon al responsable de l’organització demostrar el caràcter infundat o excessiu de les sol·licituds, podent en aquests casos el responsable cobrar un cànon que compensi els costos administratius d’atendre la petició o .

S’informarà l’interessat sobre les actuacions derivades de la petició dins del termini d’un mes, que es podrà estendre dos mesos més quan es tracti de sol·licituds especialment complexes.

Aquesta ampliació del termini es notifica dins del primer mes. Si el responsable decideix no atendre la sol·licitud, n’ha d’informar, motivant-ne la negativa, dins el termini d’un mes des de la presentació.

Es prenen totes les mesures raonables per verificar la identitat dels qui exerceixin els drets reconeguts al Reglament (UE) 2016/679, a través del requeriment del document nacional d’identitat o document equivalent que acrediti la identitat de l’interessat. Així mateix, manté un REGISTRE D’EXERCICIS DELS DRETS (veure annex) on es recullen i es
manté un control de tots els exercicis dels drets sol·licitats pels interessats.

Per a l’exercici dels drets a través de sol·licituds l’organització facilita als interessats que vulguin exercitar els seus drets els models corresponents recollits als annexos i concretats als punts següents:

Dret d’accés 

El dret d’accés ve regulat a l’art. 15 del Reglament (UE) 2016/679. Als considerats 63 i 64, es recull com un dret de l’interessat a obtenir, del responsable del tractament, confirmació de si s’estan tractant o no dades personals que li concerneixen.

Per atendre els drets d’accés de qualsevol interessat Jordi Rosas Rafart us facilita un model de sol·licitud adequat, model recollit a l’Annex SOL·LICITUD D’ACCÉS A DADES.
L’interessat que sol·liciti aquest dret i que s’identifiqui convenientment obtindrà de l’organització la resposta deguda mitjançant un document informatiu (model recollit a l’Annex RESPOSTA A L’EXERCICI DEL DRET d’ACCÉS).
Si la resposta al dret d’accés es remet per correu, al sol·licitant del dret se li remetrà el document de resposta mitjançant carta amb justificant de recepció, burofax o qualsevol altre mitjà que acrediti l’enviament i la recepció.
Si la resposta és estimatòria, la informació inclourà les dades personals de l’interessat que són objecte de tractament, les finalitats del tractament, les categories de dades personals tractades així com els destinataris o categories de destinataris als quals es comuniquen o seran comunicades les dades, a més de qualsevol informació disponible sobre l’origen de les dades, el termini previst de conservació d’aquestes o, si no és possible,
presentar els criteris utilitzats control. Així mateix, s’indicarà a l’interessat l’existència del dret a sol·licitar del responsable la rectificació o supressió de dades personals o la limitació del tractament de dades personals relatives a l’interessat, oa oposar-s’hi.

Dret de rectificació

El dret de rectificació ve recollit a l’article 16 del Reglament (UE) 2016/679, pel qual l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la rectificació de les dades personals inexactes que li concerneixin. Tenint en compte les finalitats del tractament, l’interessat tindrà dret que es completin les dades personals que siguin incompletes, fins i tot mitjançant una declaració addicional.

En el cas que les dades de l’interessat siguin incompletes o inexactes, l’organització en garanteix l’actualització sense dilació indeguda.

L’interessat pot sol·licitar el dret de rectificació de les dades mitjançant el model de sol·licitud que s’acompanya a l’Annex SOL·LICITUD DE RECTIFICACIÓ DE DADES.

Un cop rectificades les dades l’organització informarà l’interessat sobre la rectificació duta a terme (Annex RESPOSTA A L’EXERCICI DELS DRETS)

Dret a la limitació del tractament
El dret a la limitació del tractament ve regulat a l’art. 18 del Reglament (UE) 2016/679 i estableix el dret que les dades siguin limitades a petició de linteressat.
L’interessat pot sol·licitar el dret a la limitació de les dades mitjançant el model de sol·licitud que s’acompanya a l’Annex SOL·LICITUD DE LIMITACIÓ DEL TRACTAMENT DE DADES.

L’organització en resposta pot limitar el tractament de les dades de l’interessat si concorre alguna de les circumstàncies següents:

  • Quan linteressat impugna la seva exactitud, es limita el tractament durant el termini necessari per verificar lexactitud de les dades.
  • Quan el tractament de les dades és il·lícit però l’interessat s’oposa a la supressió de les dades
  • Quan les dades ja no són necessàries per a les finalitats de l’organització però si són necessàries per a l’interessat (reclamacions, etc.)
  • Quan l’interessat s’oposa al tractament mentre es verifica si els interessos legítims de l’organització prevalen sobre els de l’interessat

Per a la limitació de les dades, l’organització seguirà algun dels mètodes següents:

  • Traslladarà temporalment les dades seleccionades a un altre sistema de tractament.
  • Impedeix l’accés d’usuaris a les dades personals seleccionades.
  • Retireu temporalment les dades publicades d’un lloc internet.
  • Indicarà clarament al sistema (fitxer automatitzat) que les dades que es pretenen tractar troba limitat el seu tractament.

En els casos en què l’organització procedeixi a la limitació del tractament, les dades de l’afectat només poden ser objecte de tractament:

  • per a la conservació.
  • amb el consentiment de linteressat.
  • per a la formulació, lexercici o defensa de reclamacions.
  • per a la protecció dels drets de la persona física o jurídica.
  • per raons dinterès públic de la UE o Estats membres.

Un cop limitades les dades s’informarà l’interessat justificant-ne la decisió (Annex RESPOSTA A L’EXERCICI DELS DRETS) així com la limitació duta a terme. Igualment s’informarà quan s’aixequi la limitació al tractament.

Dret de supressió / dret a l’oblit
L’art. 17 del Reglament (UE) 2016/679 indica que linteressat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin.
L’interessat pot sol·licitar el dret de supressió/dret d’oblit de les dades mitjançant el model de sol·licitud que s’acompanya a l’Annex SOL·LICITUD DE SUPRESSIÓ/DRET A L’OBLIT.

L’organització procedeix a la supressió del tractament de les dades de l’interessat quan hi concorri alguna de les circumstàncies següents:

  • les dades personals ja no són necessàries en relació amb les finalitats per a les quals van ser recollides.
  • l’interessat retira el consentiment en què es basa el tractament i no es basa en un altre fonament jurídic.
  • l’interessat s’oposa al tractament (dret d’oposició).
  • les dades personals s’han tractat de manera il·lícita.
  • les dades personals se suprimeixen per complir una obligació legal que s’apliqui al responsable del tractament.
  • les dades personals han estat obtingudes en relació amb l’oferta directa a infants de serveis de societat de la informació.

L’organització no accepta les peticions de supressió de l’interessat quan el tractament sigui necessari en els supòsits següents:

  • per exercir el dret a la llibertat dexpressió i informació.
  • per complir una obligació legal que requereixi el tractament de dades imposada pel dret de la UE o dels estats membres que s’apliqui al responsable del tractament o per complir una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable.
  • per raons dinterès públic en làmbit de la salut pública.
  • amb fins d’arxiu en interès públic, investigació científica o històrica o fins estadístiques.
  • per a la formulació, exercici o defensa de reclamacions.

Lorganització informa sense dilació del caràcter estimatori o desestimatori del dret sol·licitat per linteressat, així com la supressió duta a terme. Model Annex RESPOSTA A L’EXERCICI DELS DRETS.

Dret d’oposició

El dret d’oposició ve regulat a l’art. 21 del Reglament (UE) 2016/679. Podem dir que és el dret de l’interessat a oposar-se, en qualsevol moment, per motius legítims i fundats relacionats amb la seva situació particular, que les dades personals que concerneixin siguin objecte d’un tractament.
Per atendre el dret d’oposició de qualsevol interessat Jordi Rosas Rafart facilita un model de sol·licitud adequat, model recollit a l’Annex SOL·LICITUD D’OPOSICIÓ.

Quan l’interessat exerceixi el dret d’oposició, Jordi Rosas Rafart deixarà de tractar aquestes dades personals, fent una anàlisi per tal de considerar si preval o no el dret de l’interessat sobre els interessos legítims de l’organització. Amb aquesta finalitat s’analitzarà detalladament la situació, els motius i la documentació aportada per l’interessat.

Si hi ha motius legítims que justifiquin el tractament (per exemple per a la formulació, l’exercici o la defensa de reclamacions) se seguiran tractant les dades, encara que s’atengui la sol·licitud de l’interessat, i es podrà desestimar.

Dret de portabilitat

L’art. 20 del Reglament (UE) 2016/679 recull que els usuaris tenen un nou dret, el dret a la portabilitat. Aquest dret complementa el dret daccés, ja que permet als interessats obtenir les dades que shan proporcionat en un format estructurat, dús comú i de lectura mecànica.
El dret a la portabilitat també implica que les dades personals de l’interessat es podran transmetre directament d’una entitat o organització a una altra, sense necessitat de ser lliurades al mateix interessat, sempre que sigui tècnicament possible.

El Reglament obre així la possibilitat no només d’obtenir les dades i reutilitzar-les, sinó també de transmetre-les a un altre proveïdor de serveis. Per tant, l’interessat tindrà l’opció de sol·licitar les dades o la transmissió directament d’una entitat a una altra.

L’organització garanteix l’exercici del dret a la portabilitat de l’interessat mitjançant un model de sol·licitud adequat, model recollit a l’Annex SOL·LICITUD DE PORTABILITAT.

Un cop sol·licitat el dret, es remeten a l’interessat totes les dades personals que li incumbeixin i que hagi facilitat, sempre que el tractament estigui basat en el consentiment o sigui necessari per a l’execució d’un contracte i aquest s’efectuï per mitjans automatitzats.

Així mateix, facilita que els interessats rebin les dades en un format estructurat d’ús comú i de lectura mecànica i interoperable, sempre que la tecnologia ho permeti.

L’organització no aplica el dret a la portabilitat a les dades que l’interessat hagi facilitat sobre terceres persones ni sobre les dades que li hagin estat proporcionades a través de tercers.

RELACIONS RESPONSABLE – ENCARREGAT

Elecció de lencarregat del tractament

L’art. 28 del Reglament (UE) 2016/679, manifesta que «el responsable del tractament triarà únicament un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits del present Reglament i garanteixi la protecció dels drets de l’interessat».

Alhora, al considerant 81 s’afegeix que, en particular, el responsable atendrà els coneixements especialitzats, fiabilitat i recursos de l’encarregat de tractament, de cara a l’aplicació de les mesures tècniques i organitzatives que compleixin els requisits del Reglament.

Jordi Rosas Rafart garanteix una diligència deguda a l’elecció de l’encarregat del tractament que ofereixi garanties suficients perquè el tractament de les dades es realitzi conforme al Reglament (UE) 2016/679, i protegeixi els drets de les persones afectades.

Jordi Rosas Rafart és responsable dels tractaments de dades realitzats per l’encarregat i no perd aquesta consideració en cap cas.

Amb tots i cadascun dels encarregats de tractament elegits Jordi Rosas Rafart subscriu un contracte de confidencialitat vinculant regulant la relació entre àmbits i establint un adequat control de signatura.

És possible que l’acord de confidencialitat entre el responsable i l’encarregat formi part del contracte de prestació de serveis. En aquest cas s’afegirà al contracte una clàusula de protecció de dades específica que reculli el contingut de l’annex esmentat al paràgraf anterior.

El contracte garanteix entre altres aspectes:

  • que lencarregat del tractament no recorre a un altre encarregat del tractament sense lautorització prèvia per escrit de lorganització responsable dels tractaments de dades.
  • que les persones autoritzades a tractar les dades s’han compromès a respectar la confidencialitat de les dades i que tenen la formació necessària en la matèria.
  • que l’encarregat del tractament posarà a disposició del responsable tota la documentació necessària per demostrar el compliment de les obligacions i que contribuirà a fer auditories per part del responsable.

Al REGISTRE D’ENCARREGATS DE TRACTAMENT (veure Annex) es recullen tots els encarregats del tractament contractats per l’organització.

Verificació del compliment de les obligacions
En funció de l’art. 28 apt 3.h) del Reglament (UE) 2016/679, Jordi Rosas Rafart requereix a cada encarregat del tractament perquè almenys amb una periodicitat anual demostri que manté el compliment de les obligacions contractuals així com les mesures de seguretat que garanteixen la protecció de les dades.

Per fer-ho, es podran realitzar auditories de revisió sobre els encarregats del tractament o en el seu lloc instar que l’encarregat aporti les proves documentals necessàries (Annex CARTA INFORMATIVA PER A ENCARREGATS DEL TRACTAMENT).

Tractament de dades per encàrrec

Quan un responsable (un client habitualment) sol·liciti el tractament de dades per encàrrec, Jordi Rosas Rafart actuarà com a encarregat del tractament, atenent totes les obligacions establertes per l’art. 28 del Reglament (UE) 2016/679.

A l’Annex CLÀUSULA DE CONFIDENCIALITAT PER AL TRACTAMENT DE DADES PER ENCÀRREC es recull el contingut contractual vinculant que ha d’estar subscrit per ambdues parts o si no n’hi ha l’acord contractual que el responsable del tractament estableixi.

MESURES DE RESPONSABILITAT ACTIVA

Anàlisi de riscos. Registre dactivitats de tractament.

El Reglament (UE) 2016/679 no ofereix un repertori de mesures de seguretat predefinides. El que planteja és que les mesures de seguretat s’estableixin en funció del risc detectat i que es puguin adaptar en funció dels nous riscos o de les circumstàncies canviants de l’organització.

Bàsicament es tracta d’un enfocament proactiu pel que fa a la seguretat que exigeix ​​no només l’existència d’aquestes mesures en un paper sinó la seva aplicació efectiva.
Jordi Rosas Rafart compleix amb el citat enfocament proactiu en la seguretat del tractament de les dades establint garanties de seguretat adequades que evitin, fonamentalment:

  • El tractament no autoritzat o il·lícit de dades personals.
  • La pèrdua de les dades personals, la destrucció o el dany accidental.

Per determinar les mesures tècniques i organitzatives es té en compte l’estat de la tècnica, els costos de l’aplicació, i la naturalesa, l’abast, el context i els fins del tractament, així com els riscos que poden generar sobre els drets i les llibertats de les persones físiques.

L’anàlisi dels riscos és el resultat d’una reflexió sobre les implicacions que tenen els tractaments de dades de caràcter personal sobre els interessats.

Per això, s’han definit la naturalesa i els tipus de tractament que Jordi Rosas Rafart realitza, les seves característiques, finalitats, modes de tractament, possibles destinataris i control del personal amb accés a les dades. “De l’anàlisi de riscos efectuat es determina si per a cada activitat de tractament duta a terme per l’organització així com qualsevol canvi o nova activitat que es realitzarà, es
presenten riscos per als drets i llibertats fonamentals de les persones.
Els resultats de l’anàlisi de riscos es recullen a l’INFORME D’ANÀLISI DE RISCOS corresponent, document que evidencia tant els aspectes analitzats com els resultats”.

Si el resultat de lanàlisi de riscos determina que el risc és reduït no serà necessària cap actuació. En cas que l’anàlisi de riscos determini que hi ha riscos elevats, es procedeix a adoptar les mesures correctives i preventives necessàries per tal de reduir els nivells de risc trobats. Es realitzarà avaluació dimpacte quan les mesures adoptades no aconsegueixin reduir els riscos.

Totes activitats de tractament dutes a terme per l’organització es recullen a l’Annex REGISTRE D’ACTIVITATS DE TRACTAMENT del present manual. No només es defineix l’abast de cada activitat: definició de categories de dades, tipus de dades, operacions, finalitats, licituds, orígens de les dades, destinataris, àmbit d’actuació de cadascuna, així com l’existència d’elaboració o no de perfils, sinó que s’analitzen els accessos, els permisos, els treballadors implicats, els tractaments per encàrrec i els suports vinculats a cada activitat.
Qualsevol variació de les activitats o de la seva organització s’actualitza al REGISTRE D’ACTIVITATS DE TRACTAMENT que evidencia el ferm compromís de l’organització amb la protecció i el control de les dades personals.

Protecció de dades des del disseny i per defecte

En virtut de lart. 25 del Reglament (UE) 2016/679 i tenint en compte la naturalesa, làmbit daplicació, el context i la finalitat dels tractaments indicats en lapartat anterior, lorganització té implantades les mesures de seguretat, tant tècniques com organitzatives, que garanteixen que els tractaments són realitzats de forma segura.

Així mateix, l’organització garanteix que el tractament de les dades s’analitza amb caràcter previ i durant l’activitat de tractament, determinant l’abast del tractament, les dades mínimes necessàries per atendre la finalitat prevista, la durada del tractament, la conservació de les dades i el control d’accés.

Per a cada activitat de tractament i amb caràcter previ al mateix, complint amb la protecció des del disseny i per defecte, l’organització analitza tots els aspectes implicats en la seguretat del tractament: els riscos per a les llibertats i els drets de les persones en funció de la naturalesa de les dades que se sol·licitaran, la finalitat per a la qual se sol·liciten, l’origen, el tipus de tractament, els destinataris,
la possibilitat de realitzar dades que s’esperen tractar.

D’acord amb això, es determinen els mitjans de tractament més adequats, en qualsevol cas, mitjans tècnics i organitzatius que garanteixin el compliment del Reglament (UE) 2016/679.
Durant les activitats de tractament, l’organització adopta les mesures de control, tècniques i organitzatives, que es descriuen en aquest manual tant sobre els mitjans de tractament com sobre les persones amb accés a les dades tractades.
L’organització garanteix que, per defecte, les dades no són accessibles a un nombre indeterminat de persones físiques, que només són accessibles per a les persones autoritzades (tant encarregades del tractament com a treballadors de l’organització), ia través de mitjans controlats i supervisats de forma periòdica.
A l’apartat següent es recullen les mesures adoptades, tant d’índole tècnica com organitzativa, per a la protecció de les dades; suports i modes demmagatzematge, control daccessos, còpies de seguretat, compromisos de confidencialitat, etc.

Mesures de seguretat tècniques i organitzatives

El Reglament (UE) 2016/679 indica que les mesures de seguretat han de ser proporcionals i adequades al risc detectat en cada activitat de tractament.
Les mesures tècniques i organitzatives desenvolupades tenen en compte:

  • Els treballadors que tenen accés a dades, establint controls d’accés, determinant i registrant les activitats de tractament que realitza cadascú, establint un mecanisme de formació a treballadors en matèria de protecció de dades que pugui conscienciar i garantir el coneixement de les responsabilitats, establint un mecanisme de compromís de
    confidencialitat que els treballadors amb accés a dades es comprometen adoptar amb la seva signatura i determinant els treballadors que assumeixen certes funcions en matèria.
  • Els suports emprats per a l’emmagatzematge i el tractament de les dades, establint un control de suports així com les activitats de tractament vinculades a cadascun, les mesures de seguretat d’accés, copiat, esborrat, xifrat, etc… i un sistema de control d’entrades i sortides.
  • L’existència d’accessos remots i servidors externs, ja siguin públics o privats, analitzant-ne les característiques de seguretat oferts i assegurant una protecció eficaç.
  • Així com altres mesures de restricció i de control daccessos a dades que es determinin en funció dels resultats de les anàlisis de riscos realitzats.

Per garantir la protecció permanent de les dades es fa un procés de verificació i avaluació periòdica de l’eficàcia de les mesures adoptades. El procés d’avaluació periòdica consisteix en una revisió sistemàtica de les activitats de tractament dutes a terme o les que es pretenguin iniciar, del personal que hi té accés, control dels compromisos de
confidencialitat, control dels destinataris i especialment dels encarregats de tractament, així com qualssevol altres indicades a l’informe de l’anàlisi de riscos que es realitzi.

El procediment de control analitza tots els suports, tant electrònics (ordinadors, dispositius electrònics intel·ligents, servidors, etc..) com a manuals (arxivadors, carpetes, etc..) i determina els riscos en funció de les activitats de tractament que continguin.

Així mateix, s’han inclòs mesures per assegurar la confidencialitat, integritat, disponibilitat i resiliència permanents de cadascun dels suports o sistemes de tractament, així com mesures per assegurar la capacitat de restaurar la disponibilitat i l’accés a les dades personals de forma ràpida en cas d’incident físic o tècnic.

S’atén el compromís de formar tots els treballadors que hi tenen accés i/o tracten dades de caràcter personal. Una formació en matèria de protecció de dades adequada i revisable (al registre de control s’inclou un apartat específic per a la formació de cada treballador).

Violacions de seguretat de dades de caràcter personal. Bretxes de seguretat
Jordi Rosas Rafart ha tingut en compte els riscos que presenta el tractament com a conseqüència de la seva destrucció, pèrdua o alteració accidental o il·lícita que són transmesos, conservats o tractats, o la comunicació o accés no autoritzats per a avaluar el nivell de seguretat aplicat a les violacions
. Compliment dels articles 33 i 34 del Reglament (UE) 2016/679 de dades de caràcter personal, se seguirà el procediment de registre de la violació de seguretat detectada
. suposa un risc per als drets i les llibertats de les persones que pugui provocar danys i perjudicis físics, materials o immaterials o que pugui suposar:

  • problemes de discriminació
  • usurpació d’identitat o frau
  • pèrdues financeres
  • dany per a la reputació
  • pèrdua de confidencialitat de dades subjectes al secret professional
  • reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic o social significatiu

Així mateix, s’analitza si la violació de les dades pot privar els interessats dels seus drets i llibertats o els impedeix exercir el control sobre dades personals que revelin:

  • l’origen ètnic o racial
  • les opinions polítiques
  • la religió o creences filosòfiques
  • la militància en sindicats
  • el tractament de dades genètiques
  • dades relatives a la salut o dades sobre la vida sexual
  • relatius a les condemnes i infraccions penals o mesures de seguretat connexes

S’analitzen els casos en què s’avaluen aspectes personals:

  • en particular l’anàlisi o la predicció d’aspectes referits al rendiment a la feina
  • situació econòmica
  • dades de salut
  • preferències o interès personals
  • fiabilitat o comportament, situació o moviments, per tal de crear o utilitzar perfils personals

Igualment s’analitzen els casos en què es tractin dades personals de persones vulnerables, en particular nens.
Si a l’anàlisi anterior s’arriba a la conclusió que la bretxa afecta o pot suposar un risc per a les persones físiques, es notificarà aquesta violació al Registre de l’Agència Espanyola de protecció de dades i es notificarà a l’afectat.

Notificació de violacions de seguretat de les dades

En cas que sigui necessari notificar la bretxa de seguretat, la notificació s’ha de fer abans de les 72 hores següents a què el responsable en tingui constància.

Es realitzarà per mitjans electrònics a través de la seu electrònica de l’Agència Espanyola de Protecció de Dades a l’adreça: https://sedeagpd.gob.es aportant tota la informació necessària per aclarir els fets que haguessin donat lloc a la incidència. La notificació inclou:

  • La naturalesa de la violació, categories de dades i interessats afectats.
  • Les mesures imposades pel responsable per resoldre aquesta fallida.
  • si escau, les mesures adoptades per reduir els possibles efectes negatius
    sobre els interessats.

La notificació als afectats es realitzarà en el mateix termini i forma que el descrit.

Avaluació dimpacte sobre protecció de dades

L’avaluació d’impacte és un exercici posterior a l’anàlisi dels riscos que un tractament determinat pot requerir per garantir el dret a la protecció de dades dels afectats.
Consisteix en una avaluació detallada dels tractaments que, com a resultat de l’anàlisi, requereixin l’adopció d’altres mesures addicionals necessàries que eliminin o atenuïn tant com sigui possible aquells riscos que s’hagin tipificat com a intolerables.
L’organització demana l’assessorament del delegat de protecció de dades, si escau, en fer l’avaluació d’impacte.
En tractaments a gran escala de categories especials de dades, tractaments de dades relatives a condemnes i infraccions penals, els que suposen una observació sistemàtica a gran escala d’una zona de públic o en els tractaments l’anàlisi de riscos dels quals resulti intolerable, es realitza avaluació d’impacte. L’avaluació inclourà una descripció sistemàtica de les operacions de tractament previstes i de les finalitats del tractament, així com l’interès legítim. Inclourà l’avaluació dels riscos per als drets i les llibertats així com les mesures previstes per
afrontar els riscos, garanties i mecanismes per garantir la protecció de dades.
Totes les avaluacions dimpacte que lorganització hagi de realitzar quedaran degudament documentades.

Delegat de protecció de dades

L’organització declara el compromís amb l’art. 34 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals designant un delegat de protecció de dades en cas que estigui obligada.
Així mateix, si després de l’anàlisi de les activitats de tractament es determina que l’organització requereix el nomenament d’un delegat de protecció de dades, ho farà per requeriment legal atenent les seves qualitats de professionals, coneixements i competències en la matèria.

Si escau l’organització mantindrà un delegat de protecció de dades, identificat per als interessats i notificat a l’Autoritat competent en matèria de protecció de dades garantint que el delegat de protecció de dades:

  • participa de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals.
  • dóna suport a l’organització en l’exercici de les funcions.
  • disposa dels recursos necessaris per a l’exercici de les seues funcions i per al manteniment dels seus coneixements, l’accés a les dades personals ia les operacions de tractament.
  • no rep cap instrucció pel que fa a l’exercici de les seves funcions.
  • no es destitueix ni se sanciona el delegat de protecció de dades per exercir-ne les funcions.
  • rendeix comptes a l’empresa al més alt nivell jeràrquic.
  • atén els interessats i manté la confidencialitat en l’exercici de les seves funcions.

Si el delegat de protecció de dades exerceix altres funcions dins de lorganització es garanteix que la situació no dóna lloc a conflicte dinteressos.
TRANSFERÈNCIES INTERNACIONALS
Per poder fer transferències internacionals de dades personals l’art. 44 Reglament (UE) 2016/679 imposa sobre el responsable i l’encarregat del tractament l’obligació de complir amb les condicions del capítol V. Podrà realitzar-se la transferència quan:
1. hi hagi garanties per a la protecció de les dades de les persones físiques al tercer
país destinatari de les dades;
2. s’hagin elaborat i aprovat normes corporatives vinculants (NCV) o;
3. mancant això, quan pugui acollir-se a una de les excepcions previstes.

Quan l’organització realitzi transferències internacionals de dades o utilitzi servidors d’internet per a l’emmagatzematge de dades de caràcter personal, realitzarà un estudi de la situació d’aquests servidors, així com dels seus proveïdors, analitzant si hi ha garanties per a les persones les dades de les quals es troben en aquesta situació, concretament si:

  • hi ha un instrument jurídic vinculant i exigible entre les autoritats o
    organismes públics dels diferents països.
  • hi ha normes corporatives vinculants (aprovades per l’autoritat de control/comissió) entre l’organització i les organitzacions destinatàries de les dades.
  • hi ha clàusules tipus (aprovades per l’autoritat de control/comissió) annexades al contracte de serveis.
  • hi ha un codi de conducta (aprovat per l’autoritat de control/comissió) juntament amb compromisos vinculants exigibles pel tercer país.
  • hi ha un mecanisme de certificació.
  • es disposa del consentiment explícit de linteressat i se li ha informat dels possibles riscos.

Els resultats quedaran documentats degudament al registre d’activitats de tractament.
VERIFICACIÓ PERIÒDICA DEL SISTEMA DE PROTECCIÓ DE DADES
Per tal de mantenir un control constant dels sistemes de protecció de dades adoptats per l’organització, amb caràcter periòdic i cada cop que es facin canvis en les activitats de tractament, l’organització es compromet a realitzar auditories internes de verificació periòdiques, on s’analitzin tots els punts de control relacionats amb les activitats de tractament. Els resultats seran documentats i posats a disposició de l’autoritat de
control i els interessats que així ho sol·licitin com a prova de conformitat.

Avís legal | Disseny web: BaguésDisseny
Registre de turisme núm. PCC-001209

T. (+34) 606 575 516 | reserves@masbuidasachs.com

T. (+34) 606 575 516
reserves@masbuidasachs.com

Instagram

Avís legal
Disseny web: BaguésDisseny

Finançat per la Unió Europea – NextGenerationEU