Cargo:                                             Alumnado

Tipo de Personal:                          Externo

Nivel de Acceso:                            Nivel 3 – Área de salud

Sede a la que Pertenece:              SEDE PRINCIPAL

Funciones y obligaciones del personal EXTERNO en relación con el tratamiento de datos de carácter personal incluidos en LAS ACTIVIDADES DE TRATAMIENTO.

La seguridad de los datos de carácter personal no es responsabilidad de una sola persona o departamento. La seguridad solo puede ser garantizada si todas las personas que participan en el tratamiento y manejo de los datos son conscientes de sus responsabilidades y actúan de acuerdo a ellas.

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información de FUNDACIÓN SEXPOL, están definidas de forma general en el presente documento.

El/la firmante, como miembro del personal externo con acceso a datos de carácter personal de FUNDACIÓN SEXPOL, se compromete al cumplimiento de las siguientes obligaciones, dándose por informado de las normas de seguridad que afectan al desarrollo de sus funciones, así como de las consecuencias del incumplimiento de las mismas, firmando el presente documento en prueba de su aceptación y conocimiento.

El/la firmante, está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afectan a las funciones que desarrolla, así como las de cada miembro del personal con acceso a datos de FUNDACIÓN SEXPOL

  1. FUNCIONES y obligaciones deL FIRMANTE.

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Como parte de las obligaciones del firmante:

  • Será diligente con respecto a las obligaciones que le asigna FUNDACIÓN SEXPOL como Responsable del Tratamiento.
  • Será responsable de que la información referente a datos personales que se muestra en el desempeño de sus funciones no pueda ser visualizada por personas no autorizadas, tanto si estas son pertenecientes a la entidad, como si son de fuera.
  • Únicamente accederá a los datos protegidos y a los recursos que hayan sido autorizados por FUNDACIÓN SEXPOL, necesarios para el desarrollo de sus funciones.
  • No intentará distorsionar o falsear los registros del sistema, ni descifrar las claves, sistemas o algoritmos de cifrado de FUNDACIÓN SEXPOL
  • No podrá destruir, alterar, inutilizar o de cualquier otra forma dañar el sistema, los datos, programas o documentos electrónicos de esta entidad, o de terceros, bien personalmente, bien introduciendo en el sistema elementos físicos o lógicos que lo ocasionen.
  • Guardará estricta confidencialidad sobre toda la información manejada, que a tenor de las funciones asignadas se considera sensible.
  • Prestará reforzada atención cuando la información involucra datos especialmente protegidos, enumerados en el artículo 9 RGPD, y que incluyen datos relativos a la vida y condición sexual de las personas con las que interactúe en el desempeño usual de sus funciones, y evitará hacerla pública por cualquier medio, ya sea oral o escrita, comprometiéndose a no divulgar la información manejada.
  • No mandará información confidencial de esta entidad al exterior, bien sea utilizando soportes informáticos, Internet o cualquier otro medio.
  • Está obligado, al “Secreto profesional” respecto de los datos personales y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con FUNDACIÓN SEXPOL
  • La obligación de secreto del personal, abarca a toda “información confidencial” que les sea revelada o tengan acceso con motivo del desarrollo de sus funciones.
  • A estos efectos se entiende por “información confidencial” aquella relativa a datos de carácter personal, contratos, clientes, costes de contratación de servicios con otras empresas, costes de adquisición de productos destinados a la comercialización, y en general cualquier información relativa al quehacer interno de la empresa.
  • No divulgará ni utilizará por tiempo indefinido, ni directamente ni a través de terceros u otras empresas, los datos, documentos, claves, programas y demás información a la que tenga acceso durante su relación con FUNDACIÓN SEXPOL, tanto en soporte físico como electrónico.
  • No sacará ningún dato de carácter personal, fuera de los locales donde está ubicado el sistema informático y las Actividades de Tratamiento, sin previa autorización.
  • Si dispone o utiliza información confidencial, siempre será de modo temporal y, por tanto, no dará lugar a ningún derecho de posesión, titularidad o copia de la misma. Se deberá devolver a FUNDACIÓN SEXPOL el material depositado o utilizado por el usuario, en cuanto finalice la tarea encomendada o la relación profesional.
    • No utilizará el acceso a Internet para actividades que puedan ser consideradas ilícitas, ilegales o vayan contra los derechos y la buena imagen de FUNDACIÓN SEXPOL
    • Únicamente puede acceder a páginas Web, grupos de noticias y otras fuentes de información, tales como FTP, cuando sea estrictamente necesario para la actividad de FUNDACIÓN SEXPOL
    • No dará de alta a la empresa, o al profesional para el que presta sus servicios, en redes sociales sin la previa autorización del Responsable del Tratamiento.
    • El/la firmante, accede a los datos de las siguientes Actividades de Tratamiento: GESTIÓN DE PACIENTES CON HISTORIALES CLÍNICOS; REALIZACIÓN DE TALLERES DE EDUCACIÓN
  1. EL Responsable del Tratamiento.

De acuerdo con el Artículo 4.7 del RGPD (UE) 2016/679, de 27 de abril, el «Responsable del tratamiento» o «Responsable»: es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el Responsable del Tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

2.1. FUNCIONES Y OBLIGACIONES DE FUNDACIÓN SEXPOL

Esta entidad tiene encomendadas diversas obligaciones, tal y como se recoge en las diferentes leyes y normativas, y entre ellas, la de atender a las peticiones de los ciudadanos sobre las consultas relacionadas con el ejercicio de sus derechos. Además, el Responsable del Tratamiento tiene también que asumir obligaciones relacionadas con la seguridad de los datos. FUNDACIÓN SEXPOL, debe adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología y la naturaleza de los datos almacenados y los riesgos a los que estén expuestos ya provengan de la acción humana o del medio físico o natural.

  1. EL Responsable de Seguridad.

Es la persona o personas a la que el Responsable del Tratamiento ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables a las Actividades de Tratamiento con datos de carácter personal.

En este sentido, y según la terminología anterior, es/son Responsable/s de Seguridad de FUNDACIÓN SEXPOL, Ana Márquez Cortés, Clara González Mora, Roberto Sanz Martín.

Podrán existir varios responsables de seguridad. En este caso, se delimitarán las Actividades de Tratamiento asignadas a cada uno de ellos.

El nombramiento del Responsable de Seguridad es aconsejable en aquellas organizaciones que cuenten con varios tratamientos para facilitar la implantación y supervisión de las medidas de seguridad.

  1. FUNCIONES Y OBLIGACIONES DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD).

Las funciones del DPD, según el artículo 39 del RGPD (UE) 2016/679, de 27 de abril , y según el artículo 36 de la LOPD 3/2018, de 5 de diciembre, son las siguientes:

  • Informar y asesorar a la empresa y a sus empleadosde las obligaciones impuestas por el RGPD (UE) 2016/679, de 27 de abril, la LOPD 3/2018, de 5 de diciembre y cualquier otra normativa aplicable en materia de protección de datos.
  • Supervisarel cumplimiento de las normas establecidas por el RGPD (UE) 2016/679, de 27 de abril, la LOPD 3/2018, de 5 de diciembre y cualquier otra normativa de aplicación, así como supervisar las políticas de la empresa al respecto. Para tal fin, podrá asignar responsabilidades, realizar formaciones y campañas de concienciación, así como realizar las auditorías correspondientes para verificar el cumplimiento.
  • Asesorar a la empresasobre la redacción de las evaluaciones de impacto y supervisar su aplicación y, por tanto, evaluar el análisis de riesgo efectuado, en base a dicha evaluación de impacto.
  • Cooperar con las autoridades de control.
  • Actuar como punto de contacto con la autoridad de control para cualquier cuestión relacionada con los tratamientos, especialmente en lo que respecta a las consultas previas derivadas del artículo 36 del RGPD (UE) 2016/679, de 27 de abril, que son las que ha de realizar el DPD a la Autoridad de control si cree que un tratamiento y sus medidas de seguridad pueden causar algún daño a los derechos y a las libertades de los titulares de los datos. El DPD actuará como “interlocutor” del responsable ante la Agencia de Protección de Datos, será la voz autorizada de la empresa, y transmitirá las instrucciones de la Agencia en materia de protección de datos. También puede realizar consultas, en su caso, sobre cualquier otro asunto.

 5. EL administrador o personal informático.

En el caso de las Actividades de Tratamiento automatizadas, los administradores del sistema son el personal informático perteneciente a los departamentos de informática de la propia organización o, en algunos casos, a las empresas externas contratadas encargadas del tratamiento para realizar las tareas del desarrollo del sistema, mantenimiento, operación e implantación.

En los casos de que no se cuente con personal especializado que desempeñe las tareas propias del administrador del sistema. Estas tareas serán realizadas generalmente por personal interno, contratando servicios externos cuando el grado de complejidad requiera de la intervención de técnicos especializados.

La persona designada por FUNDACIÓN SEXPOL, para ejercer como Administrador del Sistema de Información es, Roberto Sanz Martín.

  1. DELEGACIÓN de autorizaciones. EL RESPONSABLE AUXILIAR.

FUNDACIÓN SEXPOL, podrá delegar sus funciones relativas a la concesión de autorizaciones en otras personas designadas al efecto. Esta persona es el denominado Responsable Auxiliar.

La persona designada por FUNDACIÓN SEXPOL, para ejercer como Responsable Auxiliar es Ana Márquez Cortés.

Las personas destinatarias de esta delegación, así como las funciones objeto de la misma constan en el Documento de Seguridad.

  1. PROCEDIMIENTO de información general al personal EXTERNO con acceso a datos.

FUNDACIÓN SEXPOL, ha adoptado las medidas adecuadas para que las funciones y obligaciones de cada uno de los usuarios y perfiles, o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información, estén claramente definidas y documentadas en el presente documento.

El Responsable del Tratamiento FUNDACIÓN SEXPOL  custodiará este documento, en el cual, consta la firma del firmante, como miembro del personal con acceso a datos personales, como prueba de su aceptación, al haber leído el texto íntegro sobre sus funciones, obligaciones, así como las de cada miembro del personal con acceso a datos.

  1. CONSECUENCIAS EN CASO DE INCUMPLIMIENTO DE LAS OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS POR PARTE DEL PERSONAL EXTERNO CON ACCESO A DATOS DE CARÁCTER PERSONAL.

Las consecuencias por incumplimiento de las obligaciones de seguridad por parte del personal externo con acceso a datos pueden ser de tipo administrativo, mercantil, civil y penal.

Por vía penal el apartado 2 del artículo 197 del Código Penal (LO 10/1995, de 23 de noviembre), castiga a quien cometa delitos relativos a la protección de datos.

Por esta razón, y aunque FUNDACIÓN SEXPOL sea el Responsable en última instancia del cumplimiento de la normativa de protección de datos personales, este cumplimiento guarda en muchos casos una relación directa con el grado de implicación que los trabajadores y colaboradores que acceden a datos que las empresas tengan con respecto a esta materia.

En concreto, todas las personas que tengan acceso a los datos de las Actividades de Tratamiento, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio automatizado de acceso, deben someterse al cumplimiento de lo establecido en el presente documento.

En este sentido, y de acuerdo a lo establecido en el artículo 83.5 del RGPD (UE) 2016/679, de 27 de abril, y en el artículo 72 de la LOPD 3/2018, de 5 de diciembre, se consideran muy graves y prescribirán a los tres años las infracciones de los Responsables y Encargados que supongan una vulneración sustancial de los artículos mencionados en aquél, y en particular el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD (UE) 2016/679, de 27 de abril, entre los que se incluye el deber de confidencialidad.

Las partes convienen que en caso de que el/la firmante como personal externo que accede a datos, incumpla parcial o totalmente con las obligaciones recogidas en el presente documento, éste será responsable de los daños y perjuicios que dicho incumplimiento llegase a ocasionar al Responsable del Tratamiento, y ello con independencia de iniciar el Responsable del Tratamiento cuantas otras acciones estime pertinentes.

  

DEBER DE INFORMAR SOBRE EL TRATAMIENTO DE DATOS AL AFECTADO INFORMACIÓN ADICIONAL. RGPD (UE) 2016/679, DE 27 DE ABRIL Y LOPD 3/2018, DE 5 DE DICIEMBRE

SPNRE0703-12-0320

En cumplimiento de lo establecido en los artículos 13 y 14 del RGPD (UE) 2016/679, de 27 de abril, y en el artículo 11 de la LOPD 3/2018, de 5 de diciembre, ponemos a disposición del interesado la información adicional referente al tratamiento de sus datos de carácter personal.

La actividad de tratamiento es FORMACIÓN GESTIÓN DE ALUMNOS, cuya ubicación se encuentra en C/ FUENCARRAL, 18 – 3º IZQ. – 28004 MADRID. El Responsable del tratamiento es: FUNDACIÓN SEXPOL, con número de C.I.F.: G78024999, y con domicilio en C/ Fuencarral, 18 – 3º Izq. C.P.: 28004 – Madrid (MADRID). La finalidad del tratamiento es la de: Formación, tramitar la admisión del alumno, su matrícula y gestionar los servicios académicos correspondientes. La tipología de los datos del interesado son los siguientes: Nombre y apellidos; NIF / DNI / NIE; Teléfonos; Dirección; Imagen /voz; Correo electrónico; Fecha de nacimiento; Circunstanciales sociales; Académicos, títulos y certificados académicos; Situación laboral; Actividad Profesional; . El plazo de supresión de dichos datos es de 5 años desde la finalización de la prestación de los servicios. No está prevista la realización de perfiles, decisiones automatizadas y/o lógica aplicada. En cuanto a la base jurídica para el tratamiento, es consentimiento inequívoco del interesado. En relación con los destinatarios, el Responsable podrá ceder los datos personales facilitados a destinatarios y proveedores de servicios prestados, siempre que se limite a la finalidad que la justifica, así como a las cesiones previstas en la legislación aplicable. Las categorías de destinatarios a los que el Responsable podrá ceder los datos personales del interesado son: Administraciones públicas en los casos previstos por la ley y para las finalidades en ellas definidas; Entidades colaboradoras; Otras entidades educativas. Encargados del Tratamiento: La lista de Encargados del Tratamiento se encuentra en: C/ Fuencarral, 18 – 3º Izq. C.P.: 28004 – Madrid (MADRID). Por otro lado, en materia de transferencias internacionales, queda previsto que no se realiza ninguna transferencia internacional de datos de carácter personal. En cuanto a los derechos que dispone el interesado en relación con sus datos, podrá ejercer los derechos de acceso, rectificación, supresión, limitación de su tratamiento, oposición, revocación, a la portabilidad de sus datos, derecho a retirar el consentimiento prestado, ejerciendo sus derechos dirigiéndose a FUNDACIÓN SEXPOL como responsable: C/ Fuencarral, 18 – 3º Izq. C.P.: 28004 – Madrid (MADRID) o  info@sexpol.net . Igualmente tiene el interesado derecho a reclamar ante la Autoridad de Control en materia de protección de datos, la Agencia Española de Protección de datos (AEPD).

El interesado podrá acceder a esta información en materia de protección de datos actualizada en todo momento en C/ Fuencarral, 18 – 3º Izq. C.P.: 28004 – Madrid (MADRID).

Firma del interesado que recibe copia del presente documento que recoge las Funciones y Obligaciones del personal, así como de haber recibido su “Deber de informar sobre el tratamiento de datos al afectado información adicional” previsto en la legislación vigente.