Inicia

Política de privacitat​

1.  Propòsit, abast i usuaris

NexTReT, SL, en endavant, l'"Empresa", s'esforça per complir les lleis i reglaments aplicables relacionats amb la protecció de dades personals als països en els quals opera.

La present política té com a objectiu establir la política de seguretat de la informació per, sobre la base dels requisits disposats en el RGPD (Reglament General de Protecció de Dades) i la LOPDGDD (Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals), aquesta política estableix els principis bàsics pels quals l'Empresa tracta les dades personals de consumidors, clients, proveïdors, socis comercials, empleats i altres persones, i indica les responsabilitats dels seus departaments comercials i empleats mentre tracta les dades personals.

Aquesta política s'aplica a l'Empresa i les seves subsidiàries controlades de manera directa o indirecta que realitzen negocis dins de l'Àrea Econòmica Europea (AEE) o processen les dades personals dels interessats dins de l'AEE.

Els usuaris d'aquesta política són tots empleats, permanents o temporals, i tots els contractistes que treballen en nom de l'Empresa.

Com a punt fonamental de la política hi ha la implantació, operació i manteniment d'un SGSI (Sistema de Gestió de la Seguretat de la Informació) propi.

Aspectes bàsics de la política de seguretat de l'Empresa:

  • Assegurar la confidencialitat, integritat i disponibilitat de la informació.
  • Complir tots els requisits legals aplicables.
  • Definir les funcions del responsable de seguretat, encarregat del sistema de gestió de la seguretat de la informació SGSI.
  • Garantir un ús adequat de la informació de caràcter personal que l'empresa gestiona.
  • Formar, conscienciar i informar a tots els empleats de les seves funcions i obligacions en relació a la seguretat de la informació.
  • Gestionar adequadament totes les incidències ocorregudes.
  • Tenir un pla de continuïtat que permeti recuperar-se d'un desastre en el menor temps possible.
  • Millorar de manera continua el SGSI i per tant, la seguretat de la informació de l'organització.

 

2.  Referències

  • La llei 3/2018, del 5 de desembre, de Protecció de Dades Personal i Garantia dels Drets Digitals (LOPDGDD).
  • El RGPD EU 2016/679 (Reglament (EU) 2016/679 del Parlament Europeu i del Consell del 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE).
  • ISO 27001.

 

3.  Definicions

Les següents definicions de termes utilitzats en aquesta política, provenen de l'Article 4 del Reglament General de Protecció de Dades de la Unió Europea:

3.1   Dades personals

Tota la informació sobre una persona física identificada o identificable, directa o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o varis elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'una persona física. Com a dades personals s'hi inclouen la direcció de correu electrònic d'una persona física, número de telèfon, informació biomètrica (com l'empremta dactilar), dades d'ubicació, direcció IP, informació d'atenció mèdica, creences religioses, número de la seguretat social, estat civil, etc.


3.2   Dades personals sensibles

Dades personals que són particularment sensibles en relació als drets i les llibertats fonamentals, ja que la divulgació d'aquestes dades podria ocasionar danys físics, pèrdues financeres, danys a la reputació, robatori d'identitat o frau o discriminació, etc. Les dades personals sensibles normalment inclouen, però no es limiten a la revelació de les dades personals d'origen racial o ètnic, opinions polítiques, conviccions religioses o filosòfiques, afiliacions sindicals, dades genèriques, dades biomètriques (empremta dactilar), dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les d'orientació sexual d'una persona física.


3.3   Tractament

Una operació o conjunts d'operacions realitzades sobre dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió, limitació, esborrat o destrucció de les dades.


3.4   Responsable de les dades

La persona física o jurídica, autoritat pública, servei o altre organisme que, només o juntament amb altres, determini la finalitat i mitjans de tractament.


3.5   Anonimitzar

Eliminar de manera irreversible la identificació de dades personals de forma que no sigui possible la vinculació directa o indirecta amb una persona física d'aquestes dades.


3.6   Autoritat de control

L'Agència Espanyola de Protecció de Dades segons defineix el GDPR en l'article 4, apartat 21, com l'autoritat pública independent establerta per un Estat membre d'acord amb el que disposa l'article 51.

 

4.  Principis generals pel tractament de dades personals

4.1   Legalitat, imparcialitat i transparència

Les dades personals han de ser tractades de forma legal, imparcial i transparent en relació als interessats.


4.2   Limitació de la finalitat

Les dades personals dels interessats han de ser recollides amb unes finalitats determinades, explícites i legítimes, i no seran tractades ulteriorment de manera incompatible amb aquestes finalitats.


4.3   Minimització de dades

Les dades personals dels interessats han de ser adequades, pertinents i limitades a allò necessari en relació amb les finalitats per a les quals són tractades. El responsable de seguretat ha d'aplicar l'anonimització o seudonimització a les dades personals si és possible per reduir el risc que concerneix als interessats.


4.4   Exactitud

Les dades personals dels interessats han de ser exactes i, si fos necessari, actualitzades; s'adoptarien totes les mesures raonables per a que es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.


4.5   Limitació del termini de conservació

Les dades personals no han de ser conservades més del necessari per a les finalitats per les quals les dades personals són tractades, d'acord amb el RGPD i la LOPDGDD.


4.6   Integritat i confidencialitat

Tenint en compte l'estat de la tecnologia i altres mesures de seguretat disponibles, el cost d'implementació i la probabilitat i gravetat dels riscos, es deuen aplicar mesures tècniques o organitzatives apropiades per tractar dades personals, incloses la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental.


4.7   Responsabilitat proactiva

Els responsables del tractament seran responsables del compliment dels principis descrits anteriorment i seran capaços de demostrar-ho.

 

5.  Política de Seguretat

5.1   Objectius

La política de seguretat de l'Empresa té com a objectiu marcar les pautes d'alt nivell a seguir per a que tots els tractaments de dades de caràcter personal es realitzin de forma segura i única per personal autoritzat, així com protegir la informació de l'organització, davant de possibles pèrdues de confidencialitat, integritat i/o disponibilitat.


5.2   Abast

L'abast d'aquesta política es circumscriu a tots els departaments de l'Empresa.


5.3   Planificació

Les actuacions necessàries per a complir la declaració de la política de seguretat passen per la implantació, operació i manteniment d'un SGSI (Sistema de Gestió de la Seguretat de la Informació), que en tot moment està alineat amb aquesta política.

En la fase de planificació s'inclou com a punt fonamental un estudi de la seguretat de la companyia a través d'un anàlisis de riscs i impacte i l'establiment del seu corresponent pla de tractament de riscos no acceptats per l'organització.

La implantació del SGSI és responsabilitat principal del responsable del tractament (o responsable del SGSI) recolzat en tot moment per personal tècnic i amb el total recolzament de gerència.

En base als resultats obtinguts durant la fase de planificació s'implanten determinats controls de seguretat, a més d'operar els procediments del SGSI per a donar compliment al RGPD y LOPDGDD.


5.4   Revisió

La política de seguretat de la informació i el SGSI són revisades regularment a intervals planificats o si succeeixen canvis significatius per assegurar la contínua idoneïtat, eficàcia i efectivitat de la mateixa. De manera genèrica són revisats anualment juntament amb els processos d'auditoria interna del SGSI.

Existeixen procediments de monitorització que aporten informació sobre el correcta desenvolupament del SGSI.

La direcció també juga un important paper en la revisió del sistema, realitzant un profund anàlisis del sistema i troba possibles millores i deficiències.

Amb totes aquestes dades d'entrada, es realitza una revisió global per part del comitè de seguretat.


5.5   Millora

Les possibles millores de la política de seguretat de la informació i del SGSI són establertes bé durant les fases de revisió o bé en base a aportacions que es considerin interessants tant de personal de l'Empresa com de personal extern.

Aquestes millores són avaluades i una vegada estudiada la seva viabilitat, són implementades, operades i mantingudes. Tot el SGSI s'emmarca dins dels cicle de Demming (cercle PDCA), la seva implantació i operació, la seva revisió i posterior millora. Tot això aplicat a la seguretat de la informació.

 

6.  Directrius de tractament

Les dades personals han de ser tractades única i exclusivament, només quan sigui autoritzat de manera explícita per l'Empresa.

6.1   Avís als interessats

En el moment de la recollida o abans de recollir dades personals per a qualsevol tipus d'activitats es procedirà a informar als interessats sobre:

  • Legitimació (quines dades recollim).
  • La finalitat (amb quin objectiu).
  • Retenció (Temps que es guarden les dades).
  • Drets de l'usuari (Quins són els drets i com exercir-los).
  • On estaran allotjades les dades.
  • Reclamacions (On i com presentar reclamacions).

Quan les dades personal són compartides amb un tercer, s'haurà d'assegurar de que els interessats hagi sigut notificats d'allò mitjançant un avís de privacitat i que el tercer compleixi amb allò establert en el RGPD i la LOPDGDD.


6.2   Obtenció de consentiment

En el moment de la recollida o abans de recollir les dades personals per a qualsevol tipus d'activitats, s'haurà de procedir a sol·licitar el consentiment explícit de l'interessat per a cada una de les finalitats del tractament.

Això es realitzarà sempre que sigui possible, mitjançant un formulari en el qual es reflecteixin cada una de les finalitats del tractament juntament amb una casella de verificació, on l'interessat haurà d'indicar "sí" o "no", a la sol·licitud del consentiment. En el cas de que l'usuari no realitzi una acció afirmativa, indicant clarament l'opció "sí", s'entendrà que no accepta la recollida i tractament.

 

7.  Organització i responsabilitats

Les responsabilitats de garantir el tractament adient de les dades personals recau sobre tots els empleats de l'Empresa, així com tercer que intervinguin en aquest tractament.

El comitè de seguretat i la direcció de l'Empresa prendran decisions i aprovaran les estratègies generals de l'Empresa en temes de protecció de dades personals i podran delegar funcions específiques en tercers amb l'objectiu de garantir un tractament adequat.

 

8.  Tractament transfronterer de dades personals

No es realitza tractament transfronterer de dades de caràcter personal.

 

9.  Gestió de Proveïdors

El departament que contracti un nou subministrador haurà de tenir en compte els possibles riscos de la seguretat derivats del servei prestat, per això se li exigirà que compleixi amb el RGPD i la LOPDGDD.

En el cas de que aquest proveïdor hagi de realitzar tasques de tractament de dades personals, haurà de firmar un contracte de tractament de dades personals "CONTRACTE DE PRESTACIÓ DE SERVEIS I ENCÀRREC DE TRACTAMENT DE DADES PERSONALS".​


10.  Gestió d'Incidències

Tota incidència en matèria de seguretat haurà de comunicar-se, seguint el procediment establert. Aquesta notificació serà realitzada de manera immediata al seu superior jeràrquic o al responsable de seguretat de la informació o qui delegui en el seu nom. Una vegada rebuda, serà l'encarregat de donar-li seguiment, completar les notificacions establertes en el procediment corresponent, establir les accions per a la seva correcció.

 

11.  Continuïtat de Negoci

Es contrarestaran les interrupcions de les activitats empresarials i es protegiran els processos crítics de negoci dels efectes derivats d'errors importants o catastròfics dels sistemes de la informació.

La principal garantia de continuïtat del negoci es basa en les còpies de seguretat, el procés i polítiques del procediment de BACKUP.

Tots els empleats col·laboraran en l'oportuna represa de tots els serveis crítics per l'Empresa en cas d'una contingència greu, ajudant d'aquesta manera a que s'estableixin la majoria dels serveis en el mínim temps possible.

 

12.  Compliment Legal

S'evitarà qualsevol tipus d'incompliment de les lleis o obligacions legals, reglamentàries o contractuals i dels requisits de seguretat que afecten als sistemes d'informació i les dades de caràcter personal de l'Empresa.

 

13.  Exercici de drets

En el cas de que es volgués fer reclamació de com hem tractat les seves dades personals, per favor contacti amb el responsable de la seguretat de les dades personals, a nextret@nextret.net o escrigui a Rambla Catalunya, 33, 08007 – Barcelona. El nostre responsable de seguretat de les dades personals analitzarà la seva reclamació i treballarà amb vostè per solucionar el problema.

Si, tot i així considerés que les seves dades personals no han sigut tractades apropiadament d'acord amb la llei, pot contractar amb l'Agència Espanyola de Protecció de Dades i presentar-los una reclamació (www.aepd.es).

 

14.  Validesa

Aquesta política és vàlida a partir del 06/09/2019.​


Politica de privacitat