Política de privacidad

POLÍTICA DE PRIVACIDAD

Objeto y ámbito de aplicación

Noatum está comprometido con el cumplimiento de las normas de protección de los datos personales que afectan a todas las actividades de tratamiento de las que es responsable o encargado. Esta Política de Privacidad establece las pautas generales que se observan en dicho cumplimiento.

Esta Política de Privacidad de Noatum es de obligado cumplimiento para todos sus empleados y colaboradores internos o externos que tengan acceso a datos de carácter personal.

La Política de Privacidad está aprobada por el Comité de Seguridad y la dirección de Noatum, quien establece de esta forma las directrices básicas a seguir dentro de la organización, a la vez que da su consentimiento y respaldo al conjunto de una forma explícita.

 

Principios

Noatum trata los datos personales bajo su responsabilidad conforme a los siguientes principios:

  • Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con el interesado.
  • Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en la normativa de protección de datos.
  • Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
  • Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: los datos de carácter personal serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: los datos de carácter personal personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines que justificaron su tratamiento.
  • Responsabilidad proactiva: Noatum será responsable del cumplimiento de los principios relativos al tratamiento de los datos exigidos por el RGPD y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrarlo.
  • Atención de los derechos de los interesados: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los afectados, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
  • Protección de datos desde el diseño y por defecto: Noatum promoverá la implantación del principio de protección de datos desde el diseño y por defecto de forma que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto. Asimismo, este principio se aplicará desde el diseño inicial de los sistemas de información.
  • Confidencialidad e integridad: Noatum garantizará una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas
  • Gestión del riesgo: la gestión de los datos de carácter personal realizada por Noatum se realizará mediante una gestión activa del riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución del objetivo principal, que es la protección de los derechos y libertades de los titulares de los datos de carácter personal que se tratan.
  • Mejora continua: se revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados para aumentar la capacidad de adaptación a la constante evolución del entorno.
  • Concienciación y formación: se articularán programas de formación y concienciación para los usuarios en materia de protección de datos.

 

Medidas de seguridad técnicas y organizativas

Noatum tratará los datos personales bajo su responsabilidad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines de los tratamientos que realice, así como los posibles riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

 

Registro de actividades de tratamiento

Noatum mantendrá actualizado un registro de las actividades de tratamiento con datos de carácter personal de las que sea responsable o encargado, que incluirá al menos la siguiente información:

  • Nombre y datos de contacto del responsable
  • Fines del tratamiento
  • Descripción de las categorías de interesados
  • Descripción de las categorías de datos personales
  • Categorías de destinatarios a los que se comuniquen los datos personales
  • Transferencias de datos personales a un tercer país
  • Plazos previstos para la supresión de las diferentes categorías de datos
  • Descripción general de las medidas técnicas y organizativas de seguridad

 

Análisis de riesgos y evaluación de impacto

Antes de realizar cualquier tratamiento de datos personales se llevará a cabo un análisis de riesgos, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Se aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Noatum llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas. Si fuera necesario, consultará y solicitará autorización para llevar a cabo el tratamiento de datos personales a la Autoridad de Control correspondiente.

 

Violaciones de seguridad de los datos personales

En caso de violación de la seguridad de los datos personales, Noatum notificará a la Autoridad de Control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Noatum adoptará las medidas procedentes para la comunicación sin dilación indebida a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos personales, cuando sea probable que ésta entrañe un alto riesgo para sus derechos y libertades.

Noatum documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas.

 

Atención al ejercicio de derechos

Noatum ha establecido los procedimientos necesarios para atender las posibles solicitudes de ejercicio de derechos de los titulares de los datos personales que se encuentran bajo su responsabilidad.

 

Relaciones con terceros

Noatum ha establecido los controles necesarios para asegurarse de que, en sus relaciones con terceros, ya sean clientes o proveedores, se observa la normativa de protección de datos personales.

 

Auditoría

Noatum lleva a cabo auditorías periódicas encaminadas a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la conformidad de los tratamientos de datos personales que se realizan bajo su responsabilidad.

 

Contacto

Puede contactarse con el Departamento de Seguridad de la Información – Oficina de Privacidad:

Torre Auditori – Planta 13

Passeig de la Zona Franca nº111

08038 Barcelona

Teléfono – (+34) 932987777

Correo electrónico – dpo@noatum.com