AVISO LEGAL
Propósito, alcance y usuarios
BCN Import, SL, en lo sucesivo, la “Empresa”, se esfuerza por cumplir con las leyes y reglamentos aplicables relacionadas con a protección de datos personales en los países donde opera.
El presente documento tiene por objeto establecer la política de seguridad de la información para, en base a los requisitos dispuestos en el RGPD (Reglamento General de Protección de Datos) y la LOPD (Ley Orgánica de Protección de Datos), esta política establece los principios básicos por los cuales la Empresa trata los datos personales de consumidores, clientes, proveedores, socios comerciales, empleados y otras personas, e indica las responsabilidades de sus departamentos comerciales y empleados mientras trata los datos personales.
Esta política se aplica a la Empresa y sus subsidiarias controladas de forma directa o indirecta que realizan negocios dentro del Área Económica Europea (AEE) o procesan los datos personales de os interesados dentro del AEE.
Los usuarios de este documento son todos los empleados, permanentes o temporales, y todos os contratistas que trabajan en nombre de la Empresa.
Como punto fundamental de la política está la implantación, operación y mantenimiento de un SGSI (Sistema de Gestión de la Seguridad de la Información) propio.
Aspectos básicos de la política de seguridad de la Empresa:
- Asegurar la confidencialidad, integridad y disponibilidad de la información.
- Cumplir todos los requisitos legales aplicables.
- Definir las funciones del responsable de seguridad, encargado del sistema de gestión la seguridad de la información SGSI.
- Garantizar un uso adecuado de la información de carácter personal que la empresa gestiona.
- Formar, concienciar e informar a todos los empleados de sus funciones y obligaciones en relación a la seguridad de la información.
- Gestionar adecuadamente todas las incidencias ocurridas.
- Tener un plan de continuidad que permita recuperarse de un desastre en el menor tiempo posible.
- Mejorar de forma continua el SGSI y por ende, la seguridad de la información de la organización.
Documentos de referencia
El RGPD EU 2016/679 (Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE)
Definiciones
Las siguientes definiciones de términos utilizados en este documento provienen del Artículo 4 del Reglamento General de Protección de Datos de la Unión Europea:
Datos personales
Toda información sobre una persona física identificada o identificable, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona física. Datos personales incluye la dirección de correo electrónico de una persona física, número de teléfono, información biométrica (como huella dactilar), datos de ubicación, dirección IP, información de atención médica, creencias religiosas, número de seguro social, estado civil, etcétera.
Datos personales sensibles
Datos personales que son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que la divulgación de dichos datos podría ocasionar daños físicos, pérdidas financieras, daños a la reputación, robo de identidad o fraude o discriminación, etc. Los datos personales sensibles normalmente incluyen, pero no se limitan a la revelación de los datos personales de origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliaciones sindicales, datos genéticos, datos biométricos (huella dactilar), dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
Tratamiento
Una operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, limitación, borrado o destrucción de los datos.
Responsable de los datos
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Anonimización
Eliminar de forma irreversible la identificación de datos personales de modo que no sea posible la vinculación directa o indirecta con una persona física de dichos datos.
Autoridad de control
La Agencia Española de Protección de Datos según define el GDPR en el artículo 4, apartado 21, como la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.
Principios generales para el tratamiento de datos personales
Legalidad, imparcialidad y transparencia
Los datos personales deben ser tratados de forma legal, imparcial y transparente en relación con los interesados.
Limitación de la finalidad
Los datos personales de los interesados deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Minimización de datos
Los datos personales de los interesados deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. El responsable de seguridad debe aplicar anonimización o seudonimización a los datos personales si es posible para reducir el riesgo concerniente a los interesados.
Exactitud
Los datos personales de los interesados deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
Limitación del plazo de conservación
Los datos personados no deben ser conservados más de lo necesario para los fines para los cuales los datos personales son tratados, de acuerdo con el RGPD.
Integridad y confidencialidad
Teniendo en cuenta el estado de la tecnología y otras medidas de seguridad disponibles, el coste de implementación y la probabilidad y gravedad de los riesgos, se deben aplicar medidas técnicas u organizativas apropiadas para tratar los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
Responsabilidad proactiva
Los responsables del tratamiento serán responsables del cumplimiento de los principios descritos anteriormente y serán capaces de demostrarlo.
Política de Seguridad
Objetivos
La política de seguridad de la Empresa tiene por objetivo marcar las pautas de alto nivel a seguir para que todos los tratamientos de datos de carácter personal, se realicen de forma segura y únicamente por personal autorizado, así como proteger la información de la organización, ante posibles pérdidas de confidencialidad, integridad y/o disponibilidad.
Alcance
El alcance de esta política se circunscribe a todos los departamentos de la Empresa.
Planificación
Las actuaciones necesarias para cumplir con la declaración de la política de seguridad pasan por la implantación, operación y mantenimiento de un SGSI (Sistema de Gestión de la Seguridad de la Información), que en todo momento está alineado con esta política.
En la fase de planificación se incluye como punto fundamental un estudio de la seguridad de la compañía a través de un análisis de riesgos e impacto y el establecimiento de su correspondiente plan de tratamiento de riesgos no aceptados por la organización.
La implantación del SGSI es responsabilidad principal del responsable del tratamiento apoyado en todo momento por personal técnico y con el total apoyo de gerencia.
En base a los resultados obtenidos en la fase de planificación se implantan determinados controles de seguridad, además de operar los procedimientos del SGSI para dar cumplimiento al RGPD i LOPD.
Revisión
La política de seguridad de la información y el SGSI son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica son revisados anualmente junto con los procesos de auditoría interna del SGSI.
Existen procedimientos de monitorización que aportan información sobre el correcto desempeño del SGSI.
La dirección también juega un importante papel en la revisión del sistema, realizando un profundo análisis del sistema y encontrando posibles mejoras y deficiencias.
Con todos estos datos de entrada, se realiza una revisión global por parte del comité de seguridad.
Mejora
Las posibles mejoras de la política de seguridad de la información y del SGSI son establecidas bien durante las fases de revisión o bien en base a aportaciones que se consideren interesantes tanto de personal de la Empresa como de personal externo.
Dichas mejoras son evaluadas y una vez estudiada su viabilidad, son implementadas, operadas y mantenidas. Todo el SGSI se enmarca dentro del ciclo de Demming (ciclo PDCA), su implantación y operación, su revisión y su posterior mejora. Todo ello aplicado a la seguridad de la información.
Directrices de tratamiento
Los datos personales deben ser tratados única y exclusivamente, sólo cuando sea autorizado de forma explícita por la Empresa.
Aviso a los interesados
En el momento de a recogida o antes de recoger datos personales para cualquier tipo de actividades se deberá proceder a informar a los interesados sobre:
Legitimación (que datos recogemos).
La finalidad (con qué objetivo).
Retención (Tiempo que se guardaran los datos).
Derechos del usuario (Cuales son los derechos y como ejercerlos).
Donde estarán alojados los datos.
Reclamaciones (Donde y como presentar reclamaciones).
Cuando os datos personales son compartidos con un tercero, deberá asegurarse de que los interesados han sido notificados de ello mediante un aviso de privacidad y que el tercero cumple con lo establecido en el RGPD.
Obtención de consentimiento
En el momento de a recogida o antes de recoger datos personales para cualquier tipo de actividades se deberá proceder a solicitar el consentimiento explícito del interesado para cada una de las finalidades del tratamiento.
Esto se realizará siempre que sea posible, mediante un formulario en el que se reflejaran cada una de las finalidades del tratamiento junto con unas casillas de verificación, donde el interesado deberá indicar “si” o “no”, a la solicitud del consentimiento. En el caso de que el usuario no realice una acción afirmativa, indicando claramente la opción “si”, se entenderá que no consiente la recogida y tratamiento.
Organización y responsabilidades
La responsabilidad de garantizar el tratamiento adecuado de los datos personales recae en todos los empleados de la Empresa, así como terceros que intervengan en dicho tratamiento.
El comité de seguridad y la dirección de la Empresa, tomaran decisiones y aprobarán las estrategias generales de la Empresa en temas de protección de datos personales y podrán delegar funciones específicas en terceros con el objetivo de garantizar un tratamiento adecuado.
Tratamiento transfronterizo de datos personales
No se realiza tratamiento transfronterizo de datos de carácter personal.
Gestión de Proveedores
El departamento que contrate un nuevo suministrador tendrá que tener en cuenta los posibles riesgos de seguridad derivados del servicio prestado, para ello se le exigirá que cumpla con el RGPD.
En el caso de que este proveedor deba realizar tareas de tratamiento de datos personales, deberá firmar un contrato de tratamiento de datos personales “CONTRATO DE PRESTACIÓN DE SERVICIOS Y ENCARGO DE TRATAMIENTO DE DATOS PERSONALES”.
Gestión de Incidencias
Toda incidencia en materia de seguridad deberá comunicarse, siguiendo el procedimiento establecido. Dicha notificación será realizada de forma inmediata a su superior jerárquico o al responsable de seguridad de la información o quién delegue en su nombre. Una vez recibida será el encargado de darle seguimiento, completar las notificaciones establecidas en el procedimiento correspondiente, establecer las acciones para su corrección.
Continuidad de Negocio
Se contrarrestarán las interrupciones de las actividades empresariales y se protegerán los procesos críticos de negocio de los efectos derivados de fallos importantes o catastróficos de los sistemas de información.
La principal garantía de continuidad del negocio se basa en las copias de seguridad, el proceso y políticas se describen en el documento Copias de Seguridad.
Todos los empleados colaborarán en la oportuna reanudación de todos los servicios críticos para la Empresa en caso de una contingencia grave, ayudando de estar forma a que se restablezcan la mayoría de los servicios en el mínimo tiempo posible.
Cumplimiento Legal
Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información y los datos de carácter personal de la Empresa.
Continuidad de Negocio
Se contrarrestarán las interrupciones de las actividades empresariales y se protegerán los procesos críticos de negocio de los efectos derivados de fallos importantes o catastróficos de los sistemas de información.
La principal garantía de continuidad del negocio se basa en las copias de seguridad, el proceso y políticas se describen en el documento Copias de Seguridad.
Todos los empleados colaborarán en la oportuna reanudación de todos los servicios críticos para la Empresa en caso de una contingencia grave, ayudando de estar forma a que se restablezcan la mayoría de los servicios en el mínimo tiempo posible.
Cumplimiento Legal
Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información y los datos de carácter personal de la Empresa.