Política de Privacitat

Finalitats	Bases legals del tractament
Mantenir el contacte i la comunicació, gestionar la possible relació contractual/precontractual amb clients i proveïdors	Relació contractual o mesures precontractuales
Remetre a clients actuals, mitjançant comunicacions electròniques, informació sobre les nostres activitats, productes i/o serveis similars als sol·licitats	Interès Legítim
Realització d’enquestes d’opinió/satisfacció a clients actuals	Interès Legítim
Remetre a clients potencials, mitjançant comunicacions electròniques, informació sobre les nostres activitats, productes i/o serveis similars als sol·licitats	Consentiment
Instal·lació de Cookies tècniques	Interès Legítim
Instal·lació de Cookies no tècniques	Consentiment
Participar en esdeveniments, activitats, promocions, organitzats per les empreses del Grup NexTReT	Consentiment
Processos de selecció de personal	Gestió i valoració de candidatures: Relació contractual o mesures precontractuals Creació de perfils dels candidats: Consentiment Sol·licitud d’informació acreditativa de la formació i/o experiència professional prèvia del candidat triat en el procés de selecció: Interès Legítim
Cessions derivades de normativa tributària/consumidors i usuaris, laboral i de seguretat social	Compliment d’una obligació legal

4.3   Minimització de dades

Les dades personals dels interessats han de ser adequades, pertinents i limitades a allò necessari en relació amb les finalitats per a les quals són tractades. El responsable de seguretat ha d’aplicar l’anonimització o seudonimització a les dades personals si és possible per reduir el risc que concerneix als interessats.

4.4   Exactitud

Les dades personals dels interessats han de ser exactes i, si fos necessari, actualitzades; s’adoptarien totes les mesures raonables per a que es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.

4.5   Limitació del termini de conservació

Les dades personals no han de ser conservades més del necessari per a les finalitats per les quals les dades personals són tractades, d’acord amb el RGPD i la LOPDGDD.

Les dades personals facilitades pels usuaris interessats els conservarem mentre es mantingui la relació contractual, precontractual o comercial i, una vegada acabades aquestes, mentre la persona interessada no sol·liciti la seva supressió.

Fins i tot sol·licitada la supressió, podrem mantenir-los durant el temps necessari i limitant el seu tractament, únicament per a:

• Complir amb les obligacions legals/contractuals al fet que estiguem sotmesos,
• I/o durant els terminis legals prevists per a la prescripció de qualsevol responsabilitat per part nostra,
• I/o l’exercici o la defensa de reclamacions derivades de la relació mantinguda amb la persona interessat/a.

En coordinació amb els criteris anteriors, la supressió de dades personals bé en registres informàtics, bé en paper, podrà dur-se a terme, a criteri de l’organització, en funció de necessitats logístiques i/o d’espai d’emmagatzematge que facin aconsellable suprimir informació o documentació.

4.6   Integritat i confidencialitat

Tenint en compte l’estat de la tecnologia i altres mesures de seguretat disponibles, el cost d’implementació i la probabilitat i gravetat dels riscos, es deuen aplicar mesures tècniques o organitzatives apropiades per tractar dades personals, incloses la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental.

4.7   Responsabilitat proactiva

Els responsables del tractament seran responsables del compliment dels principis descrits anteriorment i seran capaços de demostrar-ho.

 

5- Política de Seguretat

5.1   Objectius

La política de seguretat de l’Empresa té com a objectiu marcar les pautes d’alt nivell a seguir per a que tots els tractaments de dades de caràcter personal es realitzin de forma segura i única per personal autoritzat, així com protegir la informació de l’organització, davant de possibles pèrdues de confidencialitat, integritat i/o disponibilitat.

5.2   Abast

L’abast d’aquesta política es circumscriu a tots els departaments de l’Empresa.

5.3   Planificació

Les actuacions necessàries per a complir la declaració de la política de seguretat passen per la implantació, operació i manteniment d’un SGSI (Sistema de Gestió de la Seguretat de la Informació), que en tot moment està alineat amb aquesta política.

En la fase de planificació s’inclou com a punt fonamental un estudi de la seguretat de la companyia a través d’un anàlisis de riscs i impacte i l’establiment del seu corresponent pla de tractament de riscos no acceptats per l’organització.

La implantació del SGSI és responsabilitat principal del responsable del tractament (o responsable del SGSI) recolzat en tot moment per personal tècnic i amb el total recolzament de gerència.

En base als resultats obtinguts durant la fase de planificació s’implanten determinats controls de seguretat, a més d’operar els procediments del SGSI per a donar compliment al RGPD y LOPDGDD.

5.4   Revisió

La política de seguretat de la informació i el SGSI són revisades regularment a intervals planificats o si succeeixen canvis significatius per assegurar la contínua idoneïtat, eficàcia i efectivitat de la mateixa. De manera genèrica són revisats anualment juntament amb els processos d’auditoria interna del SGSI.

Existeixen procediments de monitorització que aporten informació sobre el correcta desenvolupament del SGSI.

La direcció també juga un important paper en la revisió del sistema, realitzant un profund anàlisis del sistema i troba possibles millores i deficiències.

Amb totes aquestes dades d’entrada, es realitza una revisió global per part del comitè de seguretat.

5.5   Millora

Les possibles millores de la política de seguretat de la informació i del SGSI són establertes bé durant les fases de revisió o bé en base a aportacions que es considerin interessants tant de personal de l’Empresa com de personal extern.

Aquestes millores són avaluades i una vegada estudiada la seva viabilitat, són implementades, operades i mantingudes. Tot el SGSI s’emmarca dins dels cicle de Demming (cercle PDCA), la seva implantació i operació, la seva revisió i posterior millora. Tot això aplicat a la seguretat de la informació.

 

6- Directrius de tractament

En el moment de la recollida o abans de recollir dades personals per a qualsevol tipus d’activitats es procedirà a informar als interessats sobre:

• Legitimació (quines dades recollim).
• La finalitat (amb quin objectiu).
• Retenció (Temps que es guarden les dades).
• Drets de l’usuari (Quins són els drets i com exercir-los).
• On estaran allotjades les dades.
• Reclamacions (On i com presentar reclamacions).

Quan les dades personal són compartides amb un tercer, s’haurà d’assegurar de que els interessats hagi sigut notificats d’allò mitjançant un avís de privacitat i que el tercer compleixi amb allò establert en el RGPD i la LOPDGDD.

6.2   Obtenció de consentiment

En el moment de la recollida o abans de recollir les dades personals per a qualsevol tipus d’activitats, s’haurà de procedir a sol·licitar el consentiment explícit de l’interessat per a cada una de les finalitats del tractament.

Això es realitzarà sempre que sigui possible, mitjançant un formulari en el qual es reflecteixin cada una de les finalitats del tractament juntament amb una casella de verificació, on l’interessat haurà d’indicar “sí” o “no”, a la sol·licitud del consentiment. En el cas de que l’usuari no realitzi una acció afirmativa, indicant clarament l’opció “sí”, s’entendrà que no accepta la recollida i tractament.

 

7- Organització i responsabilitats

Les responsabilitats de garantir el tractament adient de les dades personals recau sobre tots els empleats de l’Empresa, així com tercer que intervinguin en aquest tractament.

El comitè de seguretat i la direcció de l’Empresa prendran decisions i aprovaran les estratègies generals de l’Empresa en temes de protecció de dades personals i podran delegar funcions específiques en tercers amb l’objectiu de garantir un tractament adequat.

8- Tractament transfronterer de dades personals

Procurarem que les dades personals estiguin sempre tractades i situades en l’Espai Econòmic Europeu (EEE). No obstant això, en determinades circumstàncies, podrem fer transferències internacionals de dades, per exemple, en cas que sigui necessària per a la celebració o execució d’un contracte, en interès de l’interessat, entre l’empresa del Grup NexTReT amb la qual hagi contractat el client i una altra persona física o jurídica; o en cas que sigui necessària per a l’execució d’un contracte entre l’interessat i l’empresa del Grup NexTReT amb la qual hagi contractat el client, per exemple en utilitzar proveïdors de serveis situats fora de la Unió Europea, que poden tenir accés a dades personals, per a la prestació de serveis (a títol merament enunciatiu i no limitatiu: allotjament, housing, XaaS, còpies de seguretat en remot, serveis de suport o manteniment informàtic, gestors de correu electrònic, enviament d’e-mails i e-mail màrqueting, transferència d’arxius, etc.) o per a l’execució de mesures precontractuals adoptades a sol·licitud de l’interessat.

Aquestes entitats poden ser diferents i variar al llarg del temps però, procurarem triar entitats, ben pertanyents a països que comptin amb nivell de protecció equivalent a l’europeu en matèria de protecció de dades, o que comptin amb les garanties adequades per a aconseguir aquest nivell, o bé es realitzaran sobre la base d’alguna de les excepcions previstes a aquest efecte en el RGPD.

 

9- Gestió de Proveïdors

El departament que contracti un nou subministrador haurà de tenir en compte els possibles riscos de la seguretat derivats del servei prestat, per això se li exigirà que compleixi amb el RGPD i la LOPDGDD.

En el cas de que aquest proveïdor hagi de realitzar tasques de tractament de dades personals, haurà de firmar un contracte de tractament de dades personals “CONTRACTE DE PRESTACIÓ DE SERVEIS I ENCÀRREC DE TRACTAMENT DE DADES PERSONALS”.​

 

10- Gestió d’Incidències

Tota incidència en matèria de seguretat haurà de comunicar-se, seguint el procediment establert. Aquesta notificació serà realitzada de manera immediata al seu superior jeràrquic o al responsable de seguretat de la informació o qui delegui en el seu nom. Una vegada rebuda, serà l’encarregat de donar-li seguiment, completar les notificacions establertes en el procediment corresponent, establir les accions per a la seva correcció.

 

11- Continuïtat de Negoci

Es contrarestaran les interrupcions de les activitats empresarials i es protegiran els processos crítics de negoci dels efectes derivats d’errors importants o catastròfics dels sistemes de la informació.

La principal garantia de continuïtat del negoci es basa en les còpies de seguretat, el procés i polítiques del procediment de BACKUP.

Tots els empleats col·laboraran en l’oportuna represa de tots els serveis crítics per l’Empresa en cas d’una contingència greu, ajudant d’aquesta manera a que s’estableixin la majoria dels serveis en el mínim temps possible.

 

12- Compliment Legal

S’evitarà qualsevol tipus d’incompliment de les lleis o obligacions legals, reglamentàries o contractuals i dels requisits de seguretat que afecten als sistemes d’informació i les dades de caràcter personal de l’Empresa.

 

13- Exercici de drets

Com a interessat pot, quan procedeixin, exercitar els seus drets d’accés, rectificació, supressió, de limitació i oposició al seu tractament, així com altres drets, en l’adreça de correu postal: Rambla Catalunya, 33, 08007-Barcelona, o per correu electrònic a: rgpd@nextret.net; en tots dos casos mitjançant sol·licitud escrita i signada adjuntant còpia del DNI o passaport o un altre document vàlid que li identifiqui. En cas de modificació de les seves dades haurà de notificar-ho en la mateixa direcció, declinant aquesta entitat tota responsabilitat en cas de no fer-ho.

• Dret d’accés: Pot preguntar-nos quines dades personals estem tractant fins i tot sol·licitar-nos una còpia d’aquests.
• Dret de rectificació: Pot sol·licitar-nos la rectificació de les dades personals inexactes o que completem els que siguin incomplets, inclusivament mitjançant una declaració addicional.
• Dret de supressió (dret a l’oblit): Pot sol·licitar-nos la supressió de les seves dades personals quan: no siguin necessàries per als fins per als quals van ser recollides, retiri el seu consentiment, hi hagi hagut un tractament il·lícit de les mateixes o per compliment d’una obligació legal.
• Dret a la limitació del tractament: Pot sol·licitar-nos la limitació del tractament de les seves dades, i en aquest cas únicament les conservarem per a l’exercici o la defensa de reclamacions.
• Dret d’oposició: Pot oposar-se al tractament que es faci es les seves dades si aquest tractament es base en l’interès legítim del responsable de tractament o és per a fins publicitaris.
• Dret a la portabilitat: Pot rebre les seves dades personals, en un format estructurat, d’ús comú i lectura mecànica, per a transmetre’ls a un altre responsable del tractament sempre que el tractament s’efectuï per mitjans automatitzats i quan el tractament es basi en el consentiment o un contracte.

Una vegada rebuda qualsevol de les anteriors sol·licituds li respondrem en els terminis legalment establerts.

Si considerés que les seves dades personals no han sigut tractades adequadament segons la legislació vigent, pot contractar amb l’Agència Espanyola de Protecció de Dades i presentar-los una reclamació davant l’Autoritat de Control (www.aepd.es).

14- Validesa

Aquesta política és vàlida a partir del 11/01/2023.​