Lorem ipsum dolor amet, consectetuer adipiscing elit. Aenean commodo ligula eget dolor massa. Cum sociis natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus.

Baker

Follow Us:

Política de Privacidad

INTRODUCCIÓN
El objeto del presente documento es recoger las medidas de seguridad establecidas por el responsable del tratamiento para todo el personal con acceso a los datos de carácter personal que se mantienen automatizados, así como para los sistemas de información.
Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable, y a su vez, flexible, en lugar de una descripción estática, en cuyo caso se vería sometido a continuas actualizaciones.
El presente documento se mantendrá en todo momento actualizado por el Responsable del Tratamiento y será revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
De igual forma, el Documento de Seguridad se adecuará, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
DOCUMENTO DE SEGURIDAD
El documento deberá contener, como mínimo:
-Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
-Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar la seguridad de los datos personales.
-Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal. -Estructura de los tratamientos de datos de carácter personal y descripción de los sistemas de información que los tratan.
-Procedimiento de notificación, gestión y respuesta ante las incidencias o violaciones de seguridad.
-Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
-Las medidas que sea necesario adoptar para el transporte de soportes, así como para su destrucción y reutilización.
-Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los tratamientos que se traten en concepto de encargado y se deberá firmar un contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 2

Documento de Seguridad
Ma del Mar Cremades Rosado
INDICE GENERAL
1)
2)
3)
Portada e Introducción
Documento de Seguridad de: Ma del Mar Cremades Rosado
Índice General
Estructura del Documento.
Documento de Seguridad
1. Ámbito de aplicación del documento.
2. Funciones / obligaciones del personal.
3. Medidas, normas y procedimientos.
4. Violaciones de Seguridad y Gestión de Incidencias. 5. Contraseñas y copias de seguridad.
6. Gestión de soportes y documentos.
7. Tratamientos.
8. Controles periódicos / auditorías.
9. Encargados de tratamiento.
ANEXOS
1. Anexo A
Registro de actividades de tratamiento y relación de encargados de tratamiento.
2. Anexo B
Descripción de la estructura del sistema informático.
3. Anexo C
Medidas de Seguridad y Políticas de Acceso.
4. Anexo D
Locales: Sede principal y delegaciones.
5. Anexo E
Nombramientos y autorizaciones. 1. Lista de responsables.
2. Lista de autorizaciones.
6. Anexo F
Violaciones de Seguridad y incidencias.
7. Anexo G
Procedimientos de control y seguridad.
G.1. Procedimiento de respaldo y recuperación.
G.2. Procedimiento de gestión de salida de soportes.
G.3. Procedimiento de gestión de entrada de soportes.
G.4. Autorización para el uso de ordenadores portátiles y trabajo fuera de locales.
Solicitudes ejercicio derechos de los interesados (ARCO). Modificaciones del Documento de Seguridad y Anexos. Auditorías y controles periódicos realizados.
Registro de accesos (si existe).
Relación de cesionarios.
Recomendaciones del consultor (Fin del documento de seguridad)
4)
5)
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Introducción e índice RGPD – Pág. 3

Documento de Seguridad
Ma del Mar Cremades Rosado
3) DOCUMENTO DE SEGURIDAD
1. Ámbito de aplicación del documento.
2. Funciones / obligaciones del personal.
3. Medidas, normas y procedimientos.
4. Violaciones de Seguridad y Gestión de Incidencias. 5. Contraseñas y copias de seguridad.
6. Gestión de soportes y documentos.
7. Tratamientos.
8. Controles periódicos / auditorías.
9. Encargados de tratamiento.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Introducción e índice RGPD – Pág. 4

Documento de Seguridad Ma del Mar Cremades Rosado
1) ÁMBITO DE APLICACIÓN DEL DOCUMENTO
Ma del Mar Cremades Rosado, como consecuencia de las actividades desarrolladas dentro de su actividad, necesariamente trata información y datos de carácter personal.
Las medidas de seguridad definidas en el presente documento van encaminadas a proteger todos los datos de carácter personal sometidos a tratamiento por Ma del Mar Cremades Rosado, y las aplicaciones, herramientas de actualización y consulta, y sistemas que tratan los datos de carácter personal, los equipos informáticos que las soportan, los dispositivos de archivo y los locales donde estos se ubican.
En los anexos del presente Documento se recoge:
– Información de los tratamientos llevados a cabo por el responsable y su entorno.
– Descripción de las instalaciones y estructura informática.
– Descripción de las políticas de acceso a los datos, medidas de seguridad implantadas en los sistemas y definición de los procedimientos de copias de seguridad.
Este documento ha sido elaborado bajo la responsabilidad de Ma del Mar Cremades Rosado, quien, como Responsable del Tratamiento, se compromete a implantar y actualizar la normativa de Seguridad que de él se desprende. Dicha normativa será de obligado cumplimiento para todo el personal que tenga acceso a los datos de carácter personal y/o a los sistemas de información que permiten el acceso a los mismos.
Los datos de identificación del RESPONSABLE DEL TRATAMIENTO son los siguientes:
• RAZÓN SOCIAL: Ma del Mar Cremades Rosado
• NIF/CIF: 20830197V
• DOMICILIO: C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
• DIRECCIÓN DONDE SE REALIZAN LOS TRATAMIENTOS: La especificada en el ANEXO D (Locales) • ACTIVIDAD: Educación
En concreto, los tratamientos sujetos a las medidas de seguridad establecidas en este documento son los detallados en el ANEXO A.
Como recursos protegidos de la entidad se han tenido en cuenta los siguientes componentes:
• Los tratamientos
• Aplicaciones Informáticas con acceso a datos personales • Soportes informáticos y papel
• Equipos de almacenamiento
• Equipos de tratamiento
• Comunicaciones y sistemas de acceso remoto
• Oficinas y edificios
• Sistemas de Validación
• Personas
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Introducción e índice RGPD – Pág. 5

Documento de Seguridad Ma del Mar Cremades Rosado
2) FUNCIONES / OBLIGACIONES DEL PERSONAL
Todas las personas que tengan acceso a los datos personales, a través del sistema informático o a través de cualquier otro medio automatizado de acceso, están obligadas a cumplir lo establecido en este documento, y por lo tanto, sujetas a las consecuencias que puedan derivar en caso de incumplimiento. El incumplimiento de las políticas, prácticas y procedimientos de seguridad estará sujeto a una acción disciplinaria, pudiendo conllevar una acción civil y/o penal.
Sin embargo, una eventual vulneración de la normativa de seguridad por parte de algún usuario, no eximirá de responsabilidad al Responsable del Tratamiento, sin perjuicio de las acciones que pueda éste ejercitar contra dicho usuario por el incumplimiento de sus obligaciones con respecto al mismo.
Las medidas de índole organizativas afectan en primera instancia a la actividad propia de la organización y a la asignación de funciones relacionadas con la seguridad. Por tanto, el responsable del tratamiento debe asegurar la implantación de las medidas técnicas y organizativas en sus sistemas de información y delimitar el acceso a los datos de carácter personal mediante la asignación de perfiles entre su personal. Dicha división conlleva a su vez una imposición de responsabilidades directamente relacionadas con la función a desempeñar dentro de la entidad. Los perfiles son básicamente los siguientes:
• Responsable del tratamiento: persona física o jurídica que decide sobre la finalidad y medios del tratamiento.
• Delegado de Protección de Datos (si procede): persona o personas físicas, designadas por el responsable del tratamiento, con las siguientes funciones:
Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
Cooperar con la autoridad de control.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
El DPD será obligatorio en:
– Autoridades y organismos públicos.
– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
– Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Aunque esta figura no siempre sea obligatoria, es muy recomendable como elemento clave para garantizar el cumplimiento de las medidas de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable del Tratamiento.
Las funciones principales del DPD respecto al Documento serán:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 6

Documento de Seguridad Ma del Mar Cremades Rosado
– Coordinar la actualización del documento.
– Coordinar y controlar la implantación y aplicación de las medidas definidas en el Documento de Seguridad.
– Poner en conocimiento de los usuarios de los datos las medidas y procedimientos de seguridad que les afectan.
– Realizar controles periódicos para verificar el cumplimiento de las medidas.
– Analizar los informes de auditoría y elevar las conclusiones al responsable adecuado.
• Administrador/es de Sistemas: personas físicas encargadas de implantar y mantener las medidas técnicas de seguridad, una vez autorizadas por el DPD o el Responsable del Tratamiento.
• Usuarios de los datos: Aquellos que, en ejercicio de sus funciones contractuales, tratan datos de carácter personal bajo el criterio de «necesidad de saber» establecido por el responsable del tratamiento. Los usuarios, así como el resto de personal con acceso y tratamiento de datos de carácter personal, deberán conocer sus responsabilidades, siendo para ello necesario que se articulen mecanismos para garantizar un conocimiento comprensible de dichas normas.
En este Documento aparecen las normas que afectaran básicamente al DPD y al Administrador de Sistemas pero es muy importante que los usuarios de los datos conozcan toda la normativa que les pueda afectar. Es por ello, que junto con el Documento de Seguridad formando parte del proyecto se entrega una normativa específica para usuarios donde figuran todas las normas referentes al RGPD que afectan a todos los empleados que puedan tratar datos.
Esta normativa debe difundirse a todos los empleados ya sea entregándola en la incorporación de un empleado o publicándola en algún sitio público como la intranet o similar.
En la empresa, se procede a entregar la normativa en forma de recomendaciones a todo el personal implicado, a través del Documento (Usos y Recomendaciones) que se entregará a los diferentes perfiles de usuarios y responsables.
A los nuevos trabajadores se les haría entrega de la documentación, en el momento de la firma del contrato de trabajo.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 7

Documento de Seguridad Ma del Mar Cremades Rosado
3) MEDIDAS, NORMAS Y PROCEDIMIENTOS
En este apartado reflejamos todas las medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar y poder demostrar que el tratamiento es conforme al reglamento RGPD.
Al margen del cumplimiento de esta normativa, el Responsable del Tratamiento deberá adoptar en cada momento aquellas medidas de índole técnica y organizativa que crea necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información.
Cabe decir que, si el cumplimiento estricto de alguna de las normas expuestas supusiera un coste desproporcionado para el Responsable del Tratamiento, éste podrá modular su cumplimiento, sin que en ningún caso pueda verse afectada la protección de datos de carácter personal.
Control de Acceso a los datos personales
El control de acceso es aquella medida destinada a garantizar la identidad de cada persona que accede a los sistemas de información (identificación/autenticación), así como a asegurar que el acceso de cada usuario corresponda exclusivamente al perfil y permisos asignados por el responsable del tratamiento, con el objeto de evitar accesos no autorizados al sistema que contiene datos personales.
Exclusivamente el personal responsable de sistemas podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del tratamiento.
Las aplicaciones deberán estar hechas de tal forma que se garantice que los usuarios sólo tendrán acceso a los datos que precisen para el desarrollo de sus funciones. El administrador de sistemas establecerá mecanismos para evitar que un usuario pueda acceder a datos sin estar debidamente autorizado.
En caso de que exista personal ajeno al responsable del tratamiento que tenga acceso puntual a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal interno. Es recomendable crear cuentas de usuario específicas en los sistemas de información para este tipo de usuarios.
Identificación y autenticación
El responsable del tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
Será obligatorio establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
Si el mecanismo de autenticación se basa en contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Estas contraseñas se deberán almacenar de forma ininteligible y tendrán que cambiarse con una periodicidad no superior al año.
Además, se establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 8

Documento de Seguridad Ma del Mar Cremades Rosado
Control de acceso físico
Las instalaciones donde se traten datos personales deberán contar con los medios mínimos de seguridad, que garanticen que los datos protegidos están a salvo de riesgos por incidencias fortuitas o intencionadas.
La estancia donde se ubiquen los servidores será objeto de especial protección, garantizándose en todo momento que están a salvo la disponibilidad, la integridad y confidencialidad de los datos.
El acceso a la ubicación donde se encuentra el Servidor, deberá estar restringido exclusivamente al personal autorizado, y a aquel que deba realizar labores de mantenimiento del mismo.
Telecomunicaciones
La transmisión de datos de carácter personal especialmente protegidos que se realicen a través de redes públicas o redes inalámbricas de comunicaciones electrónicas deberá realizarse cifrando dicha información o utilizando cualquier otro medio que garantice que la información no sea inteligible ni manipulada por terceros. Las medidas habituales consisten en la existencia de redes VPN (IPSEC o SSL) que garantizan la confidencialidad de la información transmitida normalmente mediante protocolos seguros, así como otras tecnologías para la securización de los accesos vía web a las aplicaciones de intranet o internet. Otras opciones consisten en el cifrado de origen a extremo llevado a cabo por los propios usuarios mediante el uso de software específico, certificados digitales, etc.
Puestos de trabajo
Los puestos de trabajo están bajo la responsabilidad de las personas autorizadas, que deberá garantizar que la información que puede mostrarse desde dicho puesto no podrá ser vista por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras y otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.
Configuración de las Aplicaciones
Los puestos de trabajo desde los que se tenga acceso a los datos personales tendrán una configuración fija en sus aplicaciones y sistemas operativos, que sólo podrá ser cambiada bajo la autorización del Administrador del sistema. Ningún usuario podrá instalar una aplicación sin autorización del Administrador del sistema, quien analizará si dicha aplicación puede perjudicar otras que traten datos de carácter personal.
Todos los ordenadores deberán tener instalados programas antivirus que deberán, asimismo, estar actualizados diariamente, para así garantizar la protección y detección inmediata de la entrada de virus informáticos en el sistema. Además, los sistemas operativos deberán mantenerse actualizados.
Medidas específicas de los soportes no automatizados:
Procedimiento de archivo
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos deberán garantizar la correcta conservación de los mismos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de los interesados.
En aquellos casos que no exista norma aplicable, el responsable del tratamiento establecerá los criterios y procedimientos de actuación que deban seguirse para el archivo.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 9

Documento de Seguridad Ma del Mar Cremades Rosado
Procedimiento para dispositivos de almacenamiento y acceso a la documentación
El responsable del tratamiento o, en su defecto, un tercero autorizado, deberá establecer mecanismos que obstaculicen la apertura de dispositivos o medios de almacenamiento. Asimismo, en caso de que la naturaleza de los mismos impida su aplicación, se deberían fijar medidas que impidan el acceso a personas no autorizadas al lugar de almacenamiento, en la medida de lo posible. Habitualmente, estos procedimientos podrán llevarse a cabo mediante la aplicación de controles de acceso físico (llaves, tarjetas de entrada, biometría, etc.).
Procedimiento de custodia de soportes
En los casos en los que la documentación no se encuentra en dispositivos debidamente protegidos sea con motivo de procesos de revisión, tramitación, previo o posterior a su archivo, el responsable a cargo de la misma deberá custodiarla impidiendo el acceso a terceros no autorizados.
Para ello, entre otras, se deberán tener en cuenta las siguientes recomendaciones:
– Se almacenará de forma protegida la información sensible en papel especialmente cuando se abandone el puesto de trabajo.
– Los puntos de correo, fotocopiadoras, escáner, etc. Deberán estar protegidos para evitar un uso no autorizado.
– Se deben recoger inmediatamente los documentos impresos o enviados a una impresora o fotocopiadora con datos de carácter personal.
Procedimiento de copia o reproducción de documentos
Para los datos especialmente protegidos, se indicarán, asimismo, las personas autorizadas para la realización de copias o reproducción de los mismos, además de garantizar la destrucción de dicha información para evitar así el acceso no autorizado o su recuperación posterior.
Para ello es fundamental dotar de dispositivos de destrucción de documentos a todas las personas con acceso a la documentación y autorizadas para ello.
Procedimiento de acceso a la documentación
Además de la obligación de restricción de accesos a la información contenida en soportes no automatizados por personal no autorizado, en el caso de acceso a la documentación con datos especialmente protegidos se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
Traslado de la documentación
Siempre que se proceda al traslado físico de la documentación con datos especialmente protegidos, deberán anotarse medidas dirigidas a impedir el acceso o manipulación de la información objeto del traslado.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 10

Documento de Seguridad Ma del Mar Cremades Rosado
4) VIOLACIONES DE LA SEGURIDAD Y GESTIÓN DE INCIDENCIAS Artículo 33 RGPD
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Artículo 34 RGPD
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 11

Documento de Seguridad Ma del Mar Cremades Rosado
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
INCIDENCIAS DE SEGURIDAD
Se considerarán como incidencias de seguridad, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal del responsable del tratamiento.
Asimismo el responsable del tratamiento intentará contemplar el sentido más amplio del concepto de incidencia, entendiendo por tal cualquier situación que contravenga las medidas descritas en la normativa de seguridad, así como el mal funcionamiento de los medios físicos y lógicos que pueda afectar a su disponibilidad y a la seguridad de la información que gestionan.
A continuación se presenta una lista de incidencias que serán inexcusablemente registradas. Esta lista no debe entenderse como limitativa, sino que podrá ser ampliada con cualquier otro tipo de incidencias que hubieran quedado omitidas:
Incidencias que afecten a la identificación y autenticación de los usuarios:
• Pérdida de confidencialidad de contraseñas.
• Asignación o modificación de derechos sobre herramientas de control de acceso y utilidades con accesos privilegiados.
• Períodos de desactivación de las herramientas de seguridad.
Incidencias que afecten a los derechos de acceso a los datos:
• Revisión de logs sobre intentos fallidos de accesos, accesos fuera de horas de oficina, etc. • Comunicación de los usuarios de sospechas de que alguien ha suplantado su personalidad. • Detección de puntos de acceso desatendidos y sin protección de pantalla activada.
• Detección de contraseñas escritas en los puestos de trabajo.
• Revisión de los informes de seguridad
Incidencias que afecten a la gestión de soportes:
• Comunicación de pérdida de soportes.
• Comunicación de localización de soportes en lugares inadecuados. • Errores de contenido en soportes recibidos.
Incidencias que afecten a los procedimientos de copias de salvaguarda y recuperación: • Errores en los procesos de realización de copias de salvaguarda.
• Recuperaciones de datos realizadas.
Cualquier otra de las observadas como consecuencia de la ejecución de los controles definidos para garantizar el cumplimiento de lo dispuesto en el Documento de Seguridad.
La aplicación del presente Procedimiento se establece para todas las Áreas del responsable del tratamiento, empleados y colaboradores externos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 12

Documento de Seguridad Ma del Mar Cremades Rosado
Responsabilidades
El Responsable se encargará de la redacción y mantenimiento de este procedimiento; así como de su custodia y archivo.
Todos los usuarios de la entidad deben informar de cualquier incidencia producida en materia de seguridad.
El Responsable debe ocuparse del seguimiento de las incidencias en materia de seguridad.
Los usuarios de los sistemas de información, empleados y colaboradores externos, deben participar en la implantación y seguimiento de la política de seguridad, aceptando formalmente sus obligaciones.
Comunicación de Incidencias de Seguridad por Usuarios
Cualquier usuario que tenga conocimiento directa o indirectamente de cualquier incidencia de seguridad, actual o posible, lo comunicará con la mayor brevedad tal incidencia y las acciones que se hubiesen tomado de urgencia.
En este momento se procede a incluirse en el registro y, si afecta a la seguridad de los datos de carácter personal, marcarla como tal.
Registro y Distribución de las Incidencias
Con el fin de poder mantener un registro de incidencias que permita su mantenimiento y posterior tratamiento y análisis se centralizará la recepción de las mismas en una misma persona designada por el responsable.
En el caso de incidencias sobre procesos o aplicaciones se comunicarán directamente al Responsable informático, quien se ocupará de informar al responsable sobre su resolución.
Registros
El registro de incidencias será mantenido en exclusiva por el responsable.
Se facilitará el acceso estrictamente a aquellos departamentos que lo necesiten, para su consulta o análisis encaminado al estudio de acciones a llevar a cabo para la resolución de las incidencias.
Se facilitarán los formularios necesarios para llevar a cabo el registro de las incidencias. El conocimiento y la no-notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del tratamiento por parte de ese usuario.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 13

Documento de Seguridad Ma del Mar Cremades Rosado
5) CONTRASEÑAS Y COPIAS DE SEGURIDAD
Autenticación
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales. Cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible. Este sistema de autenticación debe venir acompañado por una política de restricción de accesos, esto es, que exista una política en la empresa de controlar los accesos de información únicamente en lo estrictamente necesario al puesto de trabajo concreto y a las funciones que se deben desarrollar en él, siendo consecuente, que a mayor cargo y responsabilidad, mayor será el acceso que pueda obtenerse de la información del sistema, así como la restricción de acceso a la información por áreas o departamentos.
El sistema actual utilizado por el Responsable en el tratamiento en cuanto a la autenticación de las entradas en el sistema, es el que a continuación se describe:
En cuanto a las claves de acceso, el sistema operativo requiere usuario / contraseña para iniciar la sesión, éstas son dadas por el responsable de sistemas a los usuarios.
El procedimiento que se recomienda seguir para el cambio de contraseña entre los usuarios de el responsable del tratamiento es el siguiente:
1) Siempre que sea posible el sistema ha de pedir el cambio de contraseña no permitiendo volver a usar una contraseña ya utilizada anteriormente.
2) Si el punto 1 no es posible por limitaciones del sistema el administrador de sistemas pedirá personalmente a cada usuario la nueva contraseña. El usuario deberá comunicarla al administrador en un plazo máximo de 24 horas y esta comunicación se realizará por medios que garanticen la confidencialidad de la contraseña.
3) Una vez que el administrador de sistemas disponga de todas las contraseñas, validará que no sea una contraseña ya utilizada anteriormente. El administrador de sistemas cambiará la contraseña del usuario para todas las aplicaciones que la requieran junto con la contraseña del sistema operativo y red (recursos compartidos).
4) Se verificará que el cambio de las contraseñas se ha realizado correctamente.
5) Se comunicará a los usuarios el momento del cambio y cuando pueden empezar a utilizar la nuevas contraseñas haciendo hincapié en el tema de la confidencialidad. Para llevar a cabo correctamente este procedimiento será necesario disponer de una lista/fichero protegida/o con las aplicaciones y puntos del sistema informático que requieran contraseña.
A cada usuario del sistema informático de le será asignado un nombre de usuario, que asociado a una contraseña, lo identificará dentro de los sistemas de información y permitirá el acceso a las áreas relacionadas con su actividad profesional.
Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y solicitar el cambio al Responsable de protección de datos.
Cuando se incorpore un usuario nuevo el responsable de tratamiento se encargará de comunicarlo al departamento de sistemas para que se le dé de alta conforme a los permisos que le sean asignados. En esta alta se le asignará un nombre de usuario y una contraseña. No está permitida la divulgación de la clave por circunstancia alguna a otras personas integrantes de la plantilla o ajenas a la entidad.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 14

Documento de Seguridad Ma del Mar Cremades Rosado
Copias de Seguridad
La seguridad de los datos personales no sólo supone la confidencialidad de los mismos, sino que también conlleva la integridad y la disponibilidad de esos datos.
Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos de los ficheros con datos de carácter personal.
El responsable del tratamiento se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Procedimiento de respaldo
Debe fijarse y definirse un proceso de copia total de todos los archivos del sistema a través de cualquier medio válido que asegure la recuperación. El Responsable de realizarlas es el Responsable de Copias de Seguridad o el responsable de sistemas, por un medio automatizado. Se aconseja, especialmente, la copia en disco externo para almacenarla fuera del servidor de la empresa.
Procedimiento de recuperación
Cuando se produzca una pérdida total o parcial de datos de cualquiera de los servidores se deberán tener en cuenta los siguientes puntos:
• Dejar constancia en el libro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones rellenando el formulario con todos los datos requeridos.
• La recuperación deberá realizarse partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia que permita reconstruir los datos del fichero al estado en que se encontraban antes del momento del fallo o pérdida.
Soportes para los respaldos
Los soportes de las copias de seguridad se podrán reciclar. Aún así, si alguno dejará de ser fiable para su funcionamiento, deberá ser destruido físicamente de forma que sea imposible la recuperación de los datos. Antes de reciclar cualquier soporte el personal autorizado para realizar las copias deberá verificar si es o no óptimo para su funcionamiento. Se designará por el responsable un recinto donde se guardarán los soportes de las copias de seguridad, que se mantendrá constantemente cerrado con llave y protegido.
Para datos especialmente protegidos, se aconseja conservar una copia de seguridad en un lugar diferente a aquel que se encuentren los equipos que tratan los datos o utilizar elementos que garanticen la integridad y recuperación de la información.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 15

Documento de Seguridad Ma del Mar Cremades Rosado
6) GESTIÓN DE SOPORTES Y DOCUMENTOS
Los soportes informáticos son todos aquellos medios físicos susceptibles de ser tratados en los sistemas de información, y sobre los que se pueden grabar y recuperar datos (equipos, discos, pendrives, etc.). El control de estos medios tiene una importancia fundamental, dada la facilidad para su transporte y reproducción.
Inventario
Los soportes o documentos que contengan datos de carácter personal deben estar claramente identificados con una etiqueta externa que permita identificar a través de algún identificador que tipo de datos contienen (salvo que las características físicas del soporte o documento lo impidan).
Dicho sistema debe permitir mantener un inventario de los soportes, donde se pueda registrar otra información adicional, como fecha de creación, fecha de baja, motivo de la baja, etc.
La identificación de los soportes para información especialmente sensible puede establecerse mediante una codificación que dificulte la identificación para usuarios no autorizados. Los soportes o documentos que contengan datos de carácter personal deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas.
Autorización salida o entrada de soportes
La salida de datos de carácter personal pertenecientes a los tratamientos definidos en el presente documento, sea cual sea el medio utilizado (incluye los comprendidos y/o anexos a un correo electrónico), sólo estará permitida cuando sea necesario para el desempeño de las funciones propias de la empresa, y cuando así lo autorice el Responsable del Tratamiento.
Los soportes o documentos que deban salir de las ubicaciones habituales deberán ser transportados con la debida protección frente a robos, sustracciones o accesos no autorizados, teniendo en cuenta la sensibilidad de la información. A ser posible el transporte se realizará de forma codificada o mediante otros mecanismos similares que puedan garantizar su protección durante su salida de la ubicación habitual. La tecnología de cifrado también es aplicable a los documentos como correo electrónico o equipos portátiles cuando se empleen fuera de las instalaciones.
Registro salida o entrada de soportes
La salida o entrada de soportes deberá registrarse expresamente mediante el formulario habilitado.
Este registro deberá contener el tipo de documentos o soportes, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción o entrega.
Si la salida de dichos soportes o documentos fuera periódica como el caso de portátil, PDA, etc. podrá hacerse un registro/autorización genérico especificándolo en la hoja de registro. El movimiento de soportes entre departamentos no se considerará a estos efectos.
Reutilización o desechado de soportes
Cuando un soporte que contenga datos de carácter personal vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario en caso que no se sustituya por otro soporte destinado a la misma función.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 16

Documento de Seguridad Ma del Mar Cremades Rosado
Entrada y Salida de Datos por Red
La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, se está convirtiendo en uno de los medios más utilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ello merece un tratamiento especial ya que, por sus características, puede ser más vulnerable que los soportes físicos tradicionales.
El envío de datos de los ficheros protegidos por correo electrónico sólo se realizará cuando sea necesario para el desempeño de las funciones propias de la empresa. En todo caso, el usuario que realice o pretenda realizar el envío de los datos deberá ser un usuario autorizado para el tratamiento de esos datos.
La obligación de dicho usuario será la de asegurarse de que la entrega o envío de esa información es legítima en virtud de lo establecido en la presente normativa aplicable y en el presente Documento de Seguridad.
El envío de información entre personal interno o entre departamentos, no se considerará entrada y salida de datos a los efectos de la presente normativa.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 17

Documento de Seguridad Ma del Mar Cremades Rosado
7) TRATAMIENTOS
Registro de Actividades de Tratamiento
Cada Responsable del tratamiento y Encargado llevará un registro (Anexo A) de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
– Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese.
– Finalidades del tratamiento.
– Descripción de categorías de interesados y categorías de datos personales tratados.
– Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
– Transferencias internacionales de datos.
– Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
– Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
El registro (Anexo A) constará por escrito, inclusive en formato electrónico. El responsable o el encargado del tratamiento pondrán el registro a disposición de la autoridad de control que lo solicite.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 18

Documento de Seguridad Ma del Mar Cremades Rosado
8) CONTROLES PERIÓDICOS / AUDITORÍAS
El responsable llevará a cabo controles periódicos que verifiquen el cumplimiento de las normas establecidas en el reglamento europeo y de las medidas de seguridad y organizativas descritas en el documento de seguridad, así como controlar que documentalmente las modificaciones estén actualizadas: nuevos trabajadores que firman el documento de autorización del consentimiento, contratos con los posibles nuevos encargados del tratamiento, rutinas de registros, incidencias, entradas y salidas, etc.
Periódicamente los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, a una auditoría interna o externa que verifique el cumplimiento de las normas establecidas en el reglamento europeo y en el documento de seguridad.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas.
Los informes de auditoría serán analizados por el Responsable del tratamiento para que adopte las medidas correctoras adecuadas.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 19

Documento de Seguridad Ma del Mar Cremades Rosado
9) ENCARGADOS DE TRATAMIENTO
El Reglamento Europeo establece que cuando exista un tratamiento de datos por cuenta de terceros, ya sea de forma parcial o de modo exclusivo, el documento de seguridad deberá contener la identificación de dichos tratamientos, así como un contrato que regule las condiciones del encargo.
Esta exigencia se cumple a través de los modelos de contrato de encargo de tratamiento que se facilitan a través de la implantación, ya que mediante la auto cumplimentación de datos, cada uno de los contratos de encargo de tratamiento identificarán además de la empresa con la que se ha contratado los servicios que llevan implícita la comunicación y cesión de datos, es decir, la identificación del Encargo de Tratamiento, así como el resto de información a la que viene referida el artículo 28 del reglamento europeo, se señalará qué datos quedan sujetos a las cesiones o accesos de datos que deba realizar el Encargado de tratamiento para poder prestar el servicio contratado.
En un régimen diferente, ya que no se produce un tratamiento de los datos, pero para salvaguardar el posible acceso y conocimiento de datos de carácter personal titularidad del Responsable del tratamiento, encontramos terceras personas, que por la naturaleza de sus servicios (mantenimiento, mensajería y auxiliar-administrativos) tienen acceso a determinada información del centro, convirtiéndose en cesionarios de la empresa. Normalmente, son autónomos colaboradores y prestadores de algún servicio profesional que acceden a la base de datos del Responsable del Tratamiento, por lo que se hace necesario firmar el oportuno documento de acceso de datos y confidencialidad.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción e índice RGPD – Pág. 20

Documento de Seguridad
Ma del Mar Cremades Rosado
4) ANEXOS (MEDIDAS PROACTIVAS)
1. Anexo A
Registro de actividades de tratamiento y relación de encargados de tratamiento. 2. Anexo B
Descripción de la estructura del sistema informático.
3. Anexo C
Riesgos, Medidas de Seguridad y Políticas de Acceso.
4. Anexo D
Locales: Sede principal y delegaciones.
5. Anexo E
Nombramientos y autorizaciones:
1. Lista de responsables.
2. Lista de autorizaciones.
6. Anexo F
Violaciones de Seguridad y incidencias.
7. Anexo G
Procedimientos de control y seguridad:
G.1. Procedimiento de respaldo y recuperación.
G.2. Procedimiento de gestión de salida de soportes.
G.3. Procedimiento de gestión de entrada de soportes.
G.4. Autorización para el uso de ordenadores portátiles y trabajo fuera de locales. 8. Anexo H
1. Programas y aplicaciones 2. Equipamientos
3. Soportes
4. Copias
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Índice Anexos – Pág. 21

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO A Registro de actividades de tratamiento
Este anexo contiene la relación de tratamientos llevados a cabo por el responsable, y además una relación de los encargados del tratamiento.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Portada Anexo A – Pág.

Documento de Seguridad Ma del Mar Cremades Rosado
Listado de tratamientos propios
Relación de tratamientos propios del responsable Ma del Mar Cremades Rosado.
Tratamiento PROPIO
Código: 1
Nombre: Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico
Responsable: Ma del Mar Cremades Rosado
Finalidad: Fichero para la gestión administrativa y comercial de la cartera de clientes de la empresa, Fichero para realizar acciones de marketing ofertas y publicidad de los productos y servicios de la empresa
Medidas técnicas: Las detalladas en el documento de seguridad.
Base legitimadora: Legitimación por consentimiento del interesado
Colectivos de interesados: Proveedores, Clientes y usuarios, Propietarios o arrendatarios, Estudiantes, Personas de contacto
Categorías de datos: Nombre y Apellidos, Teléfono, CIF / NIF, Dirección Postal o Electrónica, Imagen / Voz, Firma manual, manuscrita o digitalizada
Cesiones: Bancos, cajas de ahorros y cajas rurales, Otras entidades financieras
Tratamiento PROPIO
Código: 2
Nombre: Gestión de nóminas, Recursos humanos
Responsable: Ma del Mar Cremades Rosado
Finalidad: Fichero para la confección de nominas y gestión laboral de los trabajadores de la empresa Medidas técnicas: Las detalladas en el documento de seguridad.
Base legitimadora: Legitimación por consentimiento del interesado
Colectivos de interesados: Empleados, Personas de contacto
Categorías de datos: Nombre y Apellidos, Teléfono, CIF / NIF, Dirección Postal o Electrónica, Imagen / Voz, Firma manual, manuscrita o digitalizada, No de la Seguridad Social
Cesiones: Organismos de la seguridad social
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo A Tratamientos – Pág. 22

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO B Estructura informática
Este anexo contiene la descripción de la estructura del sistema informático, el tipo de red y el entorno de
las comunicaciones.
Estructura informática
Código: 1
Página web: www.escuelacremades.com
Descripción de la estructura informática: Red Local
Esta estructura pertenece al local o locales: Sede Principal
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo B Estructura – Pág. 23

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO D Locales donde se tratan datos personales
Este anexo contiene una relación de los locales donde se tratan datos personales.
Local
código: 1
Nombre del local: Sede Principal
Dirección completa del local: C/ Plaza del Carbón No 8 Alzira (Valencia)
Descripción física del local: Local para el desarrollo de la actividad de 132,55 metros cuadrados Control de acceso: Personal recepcionista o de seguridad
Sistemas de seguridad: Cerradura de seguridad
Tratamientos: Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico, Gestión de nóminas, Recursos humanos
Observaciones:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo D Locales – Pág. 24

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO F Registro de violaciones de seguridad e incidencias
Registro de violaciones de seguridad y incidencias para comunicar si procede, a la autoridad de control, a los interesados o al responsable.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Portada Anexo F Violaciones Seguridad – Pág.

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO F Registro manual de violaciones de seguridad e incidencias
Registro manual de violaciones de seguridad y incidencias para comunicar si procede, a la autoridad de
control, a los interesados o al responsable.
No:
Fecha:
Naturaleza:
Categorías y número aproximado de interesados afectados:
Categorías y número aproximado de registros de datos personales afectados:
Nombre y los datos de contacto del DPD o de otro punto de contacto en el que pueda obtenerse más información:
Describir las posibles consecuencias de la violación de la seguridad de los datos personales:
Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos:
Nombre: Firma:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo F Manual de Violaciones e incidencias – Pág. 25

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.1 Procedimiento de respaldo y recuperación
Este anexo contiene la descripción del sistema de copias de seguridad y recuperación, así como la
frecuencia.
Respaldo y recuperación
código: 1
Descripción del sistema de copias: Se realizan copias de seguridad en la nube.
Descripción del sistema de recuperación:
Frecuencia de las copias: Semanal
Tratamientos afectados: Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico
Observaciones:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G.1 Respaldos – Pág. 26

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.2 Procedimiento de gestión de salida de soportes
Cualquier salida de soportes fuera de los locales donde se tratan datos deberá ser autorizada por el responsable del tratamiento de acuerdo al documento adjunto.
El responsable del tratamiento mantendrá un Libro en el que registrará las salidas de soportes, cuyos asientos estarán constituidos por los documentos de autorización de salida debidamente cumplimentados. La persona responsable de la entrega de soportes estará debidamente autorizada por el responsable del tratamiento.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G2 Salida de Soportes – Pág. 27

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.2 Gestión manual de salida de soportes
Fecha y Hora de Salida:
Referencia del soporte:
Tipo de información que contiene:
Tipo de soporte (documento, disco, etc..):
Datos del destinatario:
Cantidad de soportes incluidos en el envío:
Medio de transporte utilizado:
Medidas de seguridad adoptadas para su transporte:
Responsable que autoriza la persona que realiza la entrega.
Nombre: Firma:
Persona que realiza la entrega del soporte.
Nombre: Firma:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G2 Salida de Soportes – Pág. 28

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.3 Procedimiento de gestión de entrada de soportes
El responsable del tratamiento mantendrá un Libro en el que registrará las entradas de soportes cuyos
asientos estarán constituidos por los datos recogidos en el formulario que se adjunta.
La persona responsable de la recepción de soportes estará debidamente autorizada por el responsable del tratamiento.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G.3 Entrada de Soportes – Pág. 29

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.3 Gestión manual de entrada de soportes
Fecha y Hora de Entrada:
Referencia del soporte:
Ficheros que contiene:
Tipo de soporte( documento, disco, etc..):
Datos del emisor:
Cantidad de soportes incluidos en el envío:
Medio de transporte utilizado:
Medidas de seguridad adoptadas para su transporte:
Responsable que autoriza la persona que realiza la recepción.
Nombre: Firma:
Persona que realiza la recepción del soporte.
Nombre: Firma:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G.3 Entrada de Soportes – Pág. 30

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G4 Autorización para el uso de PC portátiles
El tratamiento, acceso y transporte de datos personales en ordenadores portátiles, estará sujeto en todo caso a una autorización expresa del responsable del tratamiento o persona delegada, y sujeta a las mismas normas de seguridad que las de un puesto de trabajo fijo.
Se deberán adjuntar en este apartado las autorizaciones explícitas por parte del responsable del tratamiento o persona autorizada, para el trabajo en ordenadores portátiles fuera del local habitual, indicando la identificación de la persona autorizada, la identificación del equipo, los datos que contiene, y las medidas extraordinarias para evitar la pérdida de confidencialidad de los datos en caso de robo o, pérdida del equipo.
Se cifrarán los datos que contengan los ordenadores portátiles cuando estos se encuentren fuera de las instalaciones que están bajo el control del responsable, si esto no es posible se hará constar las medidas alternativas que se adopten.
Utilizar el siguiente formulario para ello.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G.4 – Pág. 31

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO G.4 Autorización para el uso de PC portátiles
Nombre y firma persona autorizada:
Nombre y firma del responsable que autoriza:
Identificación del equipo:
Tratamiento que contiene:
Fecha autorización:
Periodo de validez:
Detallar las medidas extraordinarias para evitar la pérdida de confidencialidad de los datos en caso de robo o pérdida del equipo:
Se cifrarán los datos que contengan los ordenadores portátiles cuando estos se encuentren fuera de las instalaciones que están bajo el control del responsable, si esto no es posible se hará constar las medidas alternativas que se adopten.
Medidas alternativas:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo G.4 – Pág. 32

Documento de Seguridad Ma del Mar Cremades Rosado
5)
Solicitudes de derechos.
Modificaciones del Documento de Seguridad. Auditorías y controles periódicos realizados. Registro de accesos (si existe).
Relación de cesionarios.
Recomendaciones del consultor.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Indice – Pág. 33

Documento de Seguridad Ma del Mar Cremades Rosado
REGISTRO DE AUDITORÍAS Y CONTROLES PERIÓDICOS
Este apartado contendrá los resultados de los controles periódicos y de las auditorías realizadas en la empresa.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Controles periodicos – Pág. 34

Documento de Seguridad Ma del Mar Cremades Rosado
Registro manual de auditorías y controles periódicos
Tipo de Control
Fecha
Documento/s Revisado/s
Resultado del Control
Persona/s o Departamentos que han intervenido
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Controles periodicos – Pág. 35

Documento de Seguridad Ma del Mar Cremades Rosado
REGISTRO DE ACCESOS
El registro de accesos es una medida de control que se aconseja cunado se tratan datos especialmente protegidos. Consiste en un control y registro de los accesos a los datos por parte de los usuarios. El responsable debe realizar una revisión e informe mensual del mencionado registro. Se recomienda utilizar una aplicación informática para implantar esta medida, pues genera una gran cantidad de datos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Registro de Acceso – Pág. 36

Documento de Seguridad Ma del Mar Cremades Rosado
Documento para el Registro manual de los accesos a los tratamientos o Documentos no automatizados.
Usuario:
Fecha y Hora: Tratamiento accedido: Tipo de acceso: Autorizado o Denegado: Registro accedido: Cambios realizados: Finalidad:
Usuario:
Fecha y Hora: Tratamiento accedido: Tipo de acceso: Autorizado o Denegado: Registro accedido: Cambios realizados: Finalidad:
Usuario:
Fecha y Hora: Tratamiento accedido: Tipo de acceso: Autorizado o Denegado: Registro accedido: Cambios realizados: Finalidad:
Usuario:
Fecha y Hora: Tratamiento accedido: Tipo de acceso: Autorizado o Denegado: Registro accedido: Cambios realizados: Finalidad:
Usuario:
Fecha y Hora: Tratamiento accedido: Tipo de acceso: Autorizado o Denegado: Registro accedido: Cambios realizados: Finalidad:
Hoja No:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Registro de Acceso – Pág. 37

Documento de Seguridad Ma del Mar Cremades Rosado
6) DERECHOS DE LOS INTERESADOS (ARCO) 7) CLAUSULAS
8) USOS Y RECOMENDACIONES
9) CONTRATOS
10) PERSONAL
11) AEPD
12) Antonio Muriel González
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Sub Indice

Documento de Seguridad Ma del Mar Cremades Rosado
– DERECHOS DE LOS INTERESADOS (ARCO)
1. Ejercicio de los derechos de los interesados (ARCO).
2. Modelos de acceso, rectificación, supresión u olvido, limitación, portabilidad, oposición y decisiones automatizadas.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Portada derechos interesados (ARCO) – Pág. 38

Documento de Seguridad
Ma del Mar Cremades Rosado
DERECHOS DEL INTERESADO
Sección 1
Transparencia y modalidades
Artículo 12
Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
1.- El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
2.- El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
3.- El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
4.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
5.- La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
b) negarse a actuar respecto de la solicitud.
El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
6.- Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 39

Documento de Seguridad Ma del Mar Cremades Rosado
7.- La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
8.- La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 40

Documento de Seguridad
Ma del Mar Cremades Rosado
Sección 2
Información y acceso a los datos personales
Artículo 13
Información que deberá facilitarse cuando los datos personales se obtengan del interesado
1.- Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2.- Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
1. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 41

Documento de Seguridad Ma del Mar Cremades Rosado
apartado 2.
2. Las disposiciones de los apartados 1 y 2 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 42

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 14
Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 43

Documento de Seguridad Ma del Mar Cremades Rosado
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 44

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 15
Derecho de acceso del interesado
1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 45

Documento de Seguridad
Ma del Mar Cremades Rosado
Derecho de rectificación
Sección 3 Rectificación y supresión Artículo 16
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 46

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 17
Derecho de supresión («el derecho al olvido»)
1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 47

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 18
Derecho a la limitación del tratamiento
1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 48

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 19
Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
Artículo 20
Derecho a la portabilidad de los datos
1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 49

Documento de Seguridad
Ma del Mar Cremades Rosado
Sección 4
Derecho de oposición y decisiones individuales automatizadas Artículo 21
Derecho de oposición
1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 50

Documento de Seguridad
Ma del Mar Cremades Rosado
Artículo 22
Decisiones individuales automatizadas, incluida la elaboración de perfiles
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 51

Documento de Seguridad
Ma del Mar Cremades Rosado
Limitaciones
Sección 5 Limitaciones Artículo 23
1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
f) la protección de la independencia judicial y de los procedimientos judiciales;
g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros; j) la ejecución de demandas civiles.
2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:
a) la finalidad del tratamiento o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;
e) la determinación del responsable o de categorías de responsables;
f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del tratamiento o las categorías de tratamiento;
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 52

Documento de Seguridad Ma del Mar Cremades Rosado
g) los riesgos para los derechos y libertades de los interesados, y
h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHOS DEL INTERESADO – Pág. 53

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO DE ACCESO
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………………con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, de conformidad con el artículo 15 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- Que se le facilite gratuitamente el acceso a sus datos personales, en el plazo máximo de un mes a contar desde la recepción de esta solicitud. Dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
2.- Que la información facilitada comprenda: los fines del tratamiento; las categorías de datos personales de que se trate; los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales; de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; el derecho a presentar una reclamación ante una autoridad de control; cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__ Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO DE ACCESO – Pág. 54

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO DE RECTIFICACIÓN
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………….con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación, de conformidad con el artículo 16 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- Que se proceda gratuitamente a la efectiva rectificación de los datos personales inexactos que me conciernen. Y teniendo en cuenta los fines del tratamiento, que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
2.- Que el responsable responda en el plazo máximo de un mes a contar desde la recepción de esta solicitud, dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
3.- Que el responsable del tratamiento comunique cualquier rectificación de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
4.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO DE RECTIFICACIÓN – Pág. 55

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO DE SUPRESIÓN O DERECHO AL OLVIDO
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail……………………………………………………………..con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho de supresión o derecho al olvido, de conformidad con el artículo 17 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- Que se proceda a la efectiva supresión de los datos personales que le conciernan.
2.- Que el responsable responda en el plazo máximo de un mes a contar desde la recepción de esta solicitud, dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
3.- Que cuando se hayan hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
4.- Que el responsable del tratamiento comunique cualquier supresión de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
5.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD SUPRESIÓN O DERECHO AL OLVIDO – Pág. 56

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………….con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho a la limitación del tratamiento, de conformidad con el artículo 18 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- Que se proceda a la efectiva limitación del tratamiento, en el plazo máximo de un mes a contar desde la recepción de esta solicitud, dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
2- Que en el caso de que el interesado obtenga la limitación del tratamiento, sea informado por el responsable antes del levantamiento de dicha limitación.
3.- Que el responsable del tratamiento comunique cualquier limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
4.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO LIMITACIÓN DEL TRATAMIENTO – Pág. 57

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO DE PORTABILIDAD DE LOS DATOS
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………….con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho a la portabilidad de los datos, de conformidad con el artículo 20 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- Recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando sea técnicamente posible.
2.- Que se le responda en el plazo máximo de un mes a contar desde la recepción de esta solicitud, dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
3.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO A LA PORTABILIDAD DE LOS DATOS – Pág. 58

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO DE OPOSICIÓN
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………….con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
1.- Que por medio del presente escrito manifiesta su deseo de ejercer su derecho de oposición, de conformidad con el artículo 21 del Reglamento General de Protección de Datos (RGPD).
2.- Que (describir la situación en la que se produce el tratamiento de sus datos personales y enumerar los motivos por los que se opone al mismo):
3.- Que para acreditar la situación descrita, acompaño una copia de los siguientes documentos:
SOLICITA:
1.- Que sea atendido mi ejercicio del derecho de oposición en los términos anteriormente expuestos.
2.- Que se le responda a más tardar en el momento de la primera comunicación.
3.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO DE OPOSICIÓN – Pág. 59

Documento de Seguridad Ma del Mar Cremades Rosado
(RGPD) MODELO DE EJERCICIO DEL DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: Ma del Mar Cremades Rosado
Nombre y dirección de la Oficina de acceso: Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
DATOS DEL SOLICITANTE:
D./Da ………………………………………., mayor de edad, con domicilio en la C/ ………………………………………… N.o……….. C.P ……………… Localidad ………………………………………….. Provincia ………………………………….. E-mail…………………………………………………………….con D.N.I ……………………, del que acompaña fotocopia.
EXPONE:
Que por medio del presente escrito manifiesta su deseo de ejercer su derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, de conformidad con el artículo 22 del Reglamento General de Protección de Datos (RGPD).
SOLICITA:
1.- A no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2.- Que se le responda en el plazo máximo de un mes a contar desde la recepción de esta solicitud, dicho plazo podrá prorrogarse otros dos meses, informando al interesado de dicha prorroga antes de un mes, junto con los motivos del retraso.
3.- Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
En __________________________ a ______ de _____________de 20__
Firmado:
INSTRUCCIONES:
Es necesario aportar fotocopia del D.N.I. o cualquier otro medio de identificación personal válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal (menor de edad o incapacitado) deberá aportarse, además de la fotocopia del DNI, la documentación que acredite la representación legal.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD DERECHO DECISIONES AUTOMATIZADAS – Pág. 60

Documento de Seguridad Ma del Mar Cremades Rosado
7) CLAUSULAS
Descripción de las cláusulas jurídicas.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusulas jurídicas – Pág 1

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD para documentos que contengan datos personales de trabajadores
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que sus datos personales serán incorporados a nuestro sistema de tratamiento, con la finalidad de gestionar nuestra relación laboral. Que se conservarán mientras se mantenga dicha relación con el responsable o el tiempo necesario para cumplir con las obligaciones legales, y que los trataremos en base a la ejecución de un contrato laboral.
Los datos han podido ser comunicados a terceras empresas que realizan servicios de prevención de riesgos laborales y asesoría laboral, con la finalidad de llevar a cabo el cumplimiento de obligaciones legales con la seguridad social, tributarias, fiscales y el correcto funcionamiento de los recursos humanos de la empresa.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula RGPD documentos trabajadores – Pág. 2

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD acciones comerciales y publicitarias (PARA NEWSLETTER)
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que sus datos han sido obtenidos de una fuente de acceso público, y serán incluidos en nuestro sistema de tratamiento. Serán tratados, únicamente, para finalidades de publicidad, promociones y marketing que pudieran ser de su interés. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal y se conservarán mientras no solicite el cese de la actividad.
De acuerdo con la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, Vd. podrá oponerse en cualquier momento al tratamiento de sus datos con fines promocionales notificándonoslo por escrito dirigido a: Ma del Mar Cremades Rosado – C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA. O bien a la dirección de correo electrónico: info@escuelacremades.com indicando BAJA en el asunto.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado. Para ello podrá enviar un email a: info@escuelacremades.com
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
AVISO:
Si compra datos personales a terceros para realizar publicidad de sus productos y servicios, debe tener en cuenta que los mismos proceden de fuentes accesibles al público y que están contrastados con la lista Robinson.
Recuerde que debe borrar los datos cuando haya trascurrido un tiempo sin hacer uso de los mismos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula RGPD acción comercial – Pág. 3

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD para recabar datos de interesados sin consentimiento
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que trataremos sus datos personales con la finalidad de realizar la gestión administrativa, contable y fiscal, así como enviarle comunicaciones comerciales sobre nuestros productos y/o servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante el tiempo necesario para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal y los trataremos en base a la ejecución de un contrato o por obligación legal.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Datos identificativos:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula RGPD recabar datos SIN consentimiento – Pág. 4

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD para recabar datos de interesados con consentimiento
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que trataremos sus datos personales con la finalidad de realizar la gestión administrativa, contable y fiscal derivada de nuestra relación comercial, así como enviarle comunicaciones comerciales sobre nuestros productos y/o servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante el tiempo necesario para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal y los trataremos en base a su consentimiento.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
CONSENTIMIENTO
La finalidad y uso previsto tanto de los datos en sí mismos como de su tratamiento, es prestarle el servicio solicitado o entregarle el producto adquirido. A continuación podrá aceptar las finalidades que crea convenientes marcando su casilla correspondiente, tenga en cuenta que algunas finalidades pueden ser necesarias para poderle prestar el servicio, en el caso de NO marcar dichas casillas, no se podrá prestar/entregar el servicio/producto asociado.
[ _ ] Prestación del servicio contratado (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
[ _ ] Envío del producto adquirido (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
[ _ ] Envío de ofertas de productos y servicios de su interés (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
Firma:
Fdo.- …………………………………………………………………………………
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula RGPD recabar datos CON consentimiento – Pág. 5

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD informativa para el e-mail (PARA CORREOS ELECTRÓNICOS)
Este mensaje y sus archivos adjuntos van dirigidos exclusivamente a su destinatario, pudiendo contener información confidencial sometida a secreto profesional. No está permitida su reproducción o distribución sin la autorización expresa de Ma del Mar Cremades Rosado. Si usted no es el destinatario final por favor elimínelo e infórmenos por esta vía.
Le informamos que tratamos sus datos personales con la finalidad de realizar la gestión administrativa, contable y fiscal, así como enviarle comunicaciones comerciales sobre nuestros productos y/o servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos
competente para obtener información adicional o presentar una reclamación.
Si usted no desea recibir nuestra información, póngase en contacto con nosotros enviando un correo
electrónico a la siguiente dirección: info@escuelacremades.com
Datos identificativos:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula e-mail RGPD – Pág. 6

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula informativa RGPD para incluir en documentos (PARA FACTURAS, ETC.)
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que trataremos sus datos personales con la finalidad de realizar la gestión administrativa, contable y fiscal, así como enviarle comunicaciones comerciales sobre nuestros productos y/o servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante el tiempo necesario para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal y los trataremos en base a su consentimiento o la ejecución de un contrato o por obligación legal.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos
competente para obtener información adicional o presentar una reclamación.
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Cláusula RGPD general documentos – Pág. 7

Documento de Seguridad
Ma del Mar Cremades Rosado
Circular informativa implantación RGPD
Ma del Mar Cremades Rosado
20830197V
C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA 961034875
Estimado cliente,
La presente circular tiene por objeto poner en su conocimiento que hemos implantado las medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal que almacenamos, de acuerdo con el reglamento general de protección de datos RGPD.
Es nuestro deber informarle que como consecuencia de la relación comercial que nos une, sus datos están incluidos en nuestro sistema de tratamiento, con la finalidad de realizar la gestión administrativa, contable, fiscal y realizar el envío de información comercial sobre nuestros productos o servicios. Que los tratamos en base a su consentimiento o por ejecución de un contrato o por obligación legal. Y que los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales y no se cederán a terceros salvo en los casos en que exista una obligación legal.
Ma del Mar Cremades Rosado se compromete a cumplir con lo dispuesto por la normativa sobre protección de datos anteriormente mencionada, así como a hacer cumplir las medidas de seguridad técnicas y organizativas implantadas al personal a su servicio que trate datos de carácter personal, evitando de esta forma, la pérdida alteración y acceso no autorizado a los mismos. Dicho personal se halla sujeto al deber de secreto y confidencialidad respecto a los datos que trata en los mismos términos que Ma del Mar Cremades Rosado.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Circular informativa RGPD – Pág. 8

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula RGPD para Currículum vitae
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que trataremos sus datos únicamente para los procesos de selección de personal realizados por la entidad. Los datos proporcionados se conservarán durante un máximo de 6 meses. Estos no se cederán a terceros salvo en los casos en que exista una obligación legal y los trataremos en base a su consentimiento. Además le informamos que la entidad NO tomará decisiones automatizadas.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
CONSENTIMIENTO
Trataremos sus datos únicamente para los procesos de selección de personal realizados por la entidad. A continuación podrá aceptar la finalidad marcando la casilla, tenga en cuenta que el tratamiento de sus datos es necesario para realizar dicha selección de personal, en el caso de NO consentir el tratamiento, dicha selección sería inviable.
[ _ ] Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla
Firma:
Fdo.- ………………………………………………………………………………… 04-11-2019
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Currículum vitae RGPD – Pág. 9

Documento de Seguridad Ma del Mar Cremades Rosado
LSSICE (AVISO LEGAL PARA PONER EN SU PÁGINA WEB)
ADAPTACIÓN A LA LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y COMERCIO ELECTRÓNICO (LSSICE).
Se recomienda la inclusión de un enlace a este Aviso Legal, en cada una de las páginas que componen el sitio web:
AVISO LEGAL:
En cumplimiento del artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) a continuación se detallan los datos identificativos de la empresa:
Nombre empresa: Escuela Cremades
Razón social: Ma del Mar Cremades Rosado
NIF: 20830197V
Dirección: C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA Teléfono: 961034875
Email: info@escuelacremades.com
FINALIDAD DE LA PÁGINA WEB.
Aquí debe describir la finalidad o actividad de la web o de la empresa. Precios de los productos o servicios que se ofrecen a través de la web, con indicación de los impuestos y gastos de envío.
El presente aviso legal (en adelante, el «Aviso Legal») regula el uso del sitio web: www.escuelacremades.com
LEGISLACIÓN.
Con carácter general las relaciones entre 20830197V (Escuela Cremades) con los Usuarios de sus servicios telemáticos, presentes en este sitio web, se encuentran sometidas a la legislación y jurisdicción españolas.
USO Y ACCESO DE USUARIOS.
El Usuario queda informado, y acepta, que el acceso a la presente web no supone, en modo alguno, el inicio de una relación comercial con Ma del Mar Cremades Rosado (Escuela Cremades) o cualquiera de sus delegaciones.
PROPIEDAD INTELECTUAL E INDUSTRIAL.
Los derechos de propiedad intelectual del contenido de las páginas web, su diseño gráfico y códigos son titularidad de Ma del Mar Cremades Rosado (Escuela Cremades) y, por tanto, queda prohibida su reproducción, distribución, comunicación pública, transformación o cualquier otra actividad que se pueda realizar con los contenidos de sus páginas web ni aun citando las fuentes, salvo consentimiento por escrito de Ma del Mar Cremades Rosado (Escuela Cremades).
CONTENIDO DE LA WEB Y ENLACES (LINKS).
Ma del Mar Cremades Rosado (Escuela Cremades) se reserva el derecho a actualizar, modificar o eliminar la información contenida en sus páginas web pudiendo incluso limitar o no permitir el acceso a dicha información a ciertos usuarios.
Ma del Mar Cremades Rosado (Escuela Cremades) no asume responsabilidad alguna por la información contenida en páginas web de terceros a las que se pueda acceder por «links» o enlaces desde cualquier página web propiedad de Ma del Mar Cremades Rosado (Escuela Cremades). La presencia de «links» o enlaces en las páginas web de Ma del Mar Cremades Rosado (Escuela Cremades) tiene finalidad meramente informativa y en ningún caso supone sugerencia, invitación o recomendación sobre los mismos.
Nota:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Página web LSSICE – Pág. 10

Documento de Seguridad Ma del Mar Cremades Rosado
(La siguiente política de cookies sólo debe tenerse en cuenta en caso de utilizar cookies, debe confirmar con su programador web, la información de ésta cláusula y adaptarla si es necesario a su sitio web)
POLÍTICA DE COOKIES.
Ma del Mar Cremades Rosado (Escuela Cremades), a través del presente documento, recoge su Política de recogida y tratamiento de cookies, en cumplimiento de lo dispuesto en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Las cookies se almacenan en el equipo terminal del usuario (ordenador o dispositivo móvil) y recopilan información al visitar la página web www.escuelacremades.com, con la finalidad de mejorar la usabilidad de las mismas, conocer los hábitos o necesidades de navegación de los usuarios para poder adaptarse a los mismos, así como obtener información con fines estadísticos. En el caso de aquellos usuarios que ya sean clientes de Ma del Mar Cremades Rosado (Escuela Cremades), la información recabada con las cookies servirá también para su identificación al acceder a las distintas herramientas que Ma del Mar Cremades Rosado (Escuela Cremades) pone a su disposición para la gestión de los servicios.
La presente Política de Cookies será de aplicación a aquellos usuarios que voluntariamente visitan las páginas web de Ma del Mar Cremades Rosado (Escuela Cremades), cumplimentan formularios de recogida de datos, acceden a las herramientas que Ma del Mar Cremades Rosado (Escuela Cremades) pone a disposición de sus clientes para gestionar sus servicios, o utilizan cualquier otro servicio presente en el sitio web que implique la comunicación de datos a Ma del Mar Cremades Rosado (Escuela Cremades), o el acceso a datos por Ma del Mar Cremades Rosado (Escuela Cremades), para la prestación de sus servicios.
Ma del Mar Cremades Rosado (Escuela Cremades) informa a los usuarios de sus páginas web, de la existencia de cookies y pone a su disposición la presente Política con la finalidad de informarles acerca del uso y del objeto de las mismas. El hecho de continuar la navegación a través de sus páginas, supone el conocimiento y la aceptación de la presente Política por parte de dichos usuarios.
Ma del Mar Cremades Rosado (Escuela Cremades) utiliza los siguientes tipos de cookies:
Clasificadas por su titularidad:
* Cookies propias: enviadas y gestionadas directamente por Ma del Mar Cremades Rosado.
* Cookies de terceros: enviadas y gestionadas por un tercero ajeno a Ma del Mar Cremades Rosado, de forma anónima, con la finalidad de realizar estudios estadísticos de navegación por las páginas web de Ma del Mar Cremades Rosado.
Clasificadas por su finalidad:
* Cookies técnicas y/o de personalización: facilitan la navegación, al identificar la sesión, permitir
el acceso a herramientas de acceso restringido, además de configurar a medida las opciones disponibles. Posibilitan la prestación del servicio solicitado previamente por el usuario.
* Cookies de análisis y/o publicidad: permiten conocer el número de visitas recibidas en las diferentes secciones de las páginas web, los hábitos y tendencias de sus usuarios y en consecuencia, poder mejorar la navegación y el servicio ofrecido por Ma del Mar Cremades Rosado (fundamentalmente, Google Analytics), así como gestionar los espacios publicitarios incluidos en la página web visitada por el usuario. Recopila datos de forma anónima con la finalidad de obtener perfiles de navegación de los usuarios.
Clasificadas por su duración:
* Cookies de sesión: recaban y almacenan los datos mientras el usuario accede a la página web. * Cookies persistentes: recaban y almacenan los datos en el terminal del usuario durante un
periodo de tiempo variable en función de cuál sea la finalidad para la que han sido utilizadas.
El tiempo de conservación de las cookies dependerá del tipo de que se trate y siempre será el mínimo indispensable para cumplir su finalidad.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Página web LSSICE – Pág. 11

Documento de Seguridad Ma del Mar Cremades Rosado
En cualquier caso, los usuarios pueden configurar su navegador, de manera que se deshabilite o bloquee la recepción de todas o algunas de las cookies. El hecho de no desear recibir estas cookies, no constituye un impedimento para poder acceder a la información de los sitios web de Ma del Mar Cremades Rosado aunque el uso de algunos servicios podrá ser limitado. Si una vez otorgado el consentimiento para la recepción de cookies, se desease retirar éste, se deberán eliminar aquellas almacenadas en el equipo del usuario, a través de las opciones de los diferentes navegadores.
La forma de configurar los diferentes navegadores para ejercitar las acciones señaladas en los párrafos anteriores, se puede consultar en:
* Explorer: http://windows.microsoft.com/es-es/windows7/how-to-manage-cookies -in-internet-explorer-9
* Chrome: https://support.google.com/chrome/answer/95647?hl=es
* Firefox: http://support.mozilla.org/es/kb/cookies-informacion-que-los-siti os-web-guardan-en-?redirectlocale=en-US&redirectslug=Cookies
_______________________________
Otros datos a incluir en la web dependiendo del servicio o producto ofrecido por la empresa:
– Códigos de conducta a que estén adheridas.
– Datos relativos a la autorización administrativa necesaria para el ejercicio de la actividad.
– Datos de colegiación y título académico de profesionales que ejerzan una actividad regulada.
– Información adicional cuando al servicio se acceda mediante un número de teléfono de tarificación adicional.
– Si además realiza contratos on-line deberá añadir la siguiente información con carácter previo al proceso de contratación:
* Trámites que deben seguirse para contratar on-line.
* Si el documento electrónico del contrato se va a archivar y si éste será accesible.
* Medios técnicos para identificar y corregir errores en la introducción de datos.
* Lengua o lenguas en que podrá formalizarse el contrato.
* Condiciones generales a que, en su caso, se sujete el contrato.
* Confirmar la celebración del contrato por vía electrónica, mediante el envío de un acuse de recibo del
pedido realizado.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Página web LSSICE – Pág. 12

Documento de Seguridad Ma del Mar Cremades Rosado
Cláusula rgpd para el cumplimiento del deber informativo y obtención del consentimiento a través de la web (PARA PONER EN SU PÁGINA WEB)
AVISO LEGAL
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que trataremos sus datos personales con la finalidad de:
[Prestarle o entregarle el servicio o producto contratado, e informarle sobre los productos o servicios publicados en nuestra web]
Los datos personales proporcionados se conservarán, mientras se mantenga la relación mercantil, no se solicite su supresión por el interesado, o durante 1 año a partir de la última confirmación de interés, o durante el tiempo necesario para cumplir con las obligaciones legales. La empresa NO tomará decisiones automatizadas. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal y los trataremos en base a [su consentimiento o ejecución de un contrato].
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado, para ello podrá enviar un email a: info@escuelacremades.com
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
DPD: [Aquí debe detallar los datos de contacto del DPD, si se ha nombrado]
CONSENTIMIENTO
La finalidad y uso previsto tanto de los datos en sí mismos como de su tratamiento, es prestarle el servicio solicitado o entregarle el producto adquirido. A continuación podrá aceptar las finalidades que crea convenientes marcando su casilla correspondiente y clicando en el botón ACEPTAR, tenga en cuenta que algunas finalidades pueden ser necesarias para poderle prestar el servicio, en el caso de NO marcar dichas casillas, no se podrá prestar/entregar el servicio/producto asociado.
[ _ ] Prestación del servicio contratado (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
[ _ ] Envío del producto adquirido (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
[ _ ] Envío de ofertas de productos y servicios de su interés (Si acepta el tratamiento de sus datos con esta finalidad marque esta casilla)
_______________
/BOTÓN ACEPTAR/
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Página Web RGPD – Pág. 13

Documento de Seguridad Ma del Mar Cremades Rosado
– USOS Y RECOMENDACIONES
Manual de usos y recomendaciones. (Para todos los usuarios con acceso a los datos)
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Portada Usos y Recomendaciones RGPD – Pág. 14

Documento de Seguridad Ma del Mar Cremades Rosado
USOS Y RECOMENDACIONES
Todas las personas que tengan acceso a los datos personales, a través del sistema informático o a través de cualquier otro medio automatizado de acceso, están obligadas a cumplir lo establecido en el Documento de Seguridad que dispone la entidad, y por lo tanto, sujetas a las consecuencias que puedan derivar en caso de incumplimiento. El incumplimiento de las políticas, prácticas y procedimientos de seguridad estará sujeto a una acción disciplinaria, pudiendo conllevar una acción civil y/o penal.
Esta normativa debe difundirse a todos los empleados para que todos los usuarios sepan a qué medidas de seguridad están sujetos en materia de Protección de Datos, asimismo, se recomienda hacer la entrega de algún modo que permita registrar el acuse de recibo por parte de los usuarios.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción Usos y Recomendaciones RGPD – Pág. 15

Documento de Seguridad Ma del Mar Cremades Rosado
FUNCIONES ASIGNADAS AL RESPONSABLE DEL TRATAMIENTO
1. Elaborar e implantar la normativa de seguridad que deben adoptar los tratamientos detallados en el correspondiente ANEXO A del documento de seguridad así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
2. Crear y mantener el Registro de Actividades de Tratamiento.
3. Comprobar el cumplimiento del deber de información, con anterioridad a la recogida de datos de acuerdo con los medios que se utilicen para ello.
4. Recabar el consentimiento de los interesados, siempre que éste sea necesario para el tratamiento de sus datos.
5. Aprobar la designación y autorización de usuarios que emplean la aplicación en su labor cotidiana, asignando los accesos permitidos a cada usuario.
6. Aprobar una política que tenga por objetivo la formación adecuada del personal con los siguientes fines: – conocimiento de las medidas de seguridad que afecten a las funciones de cada usuario.
– conocimiento de los procedimientos a seguir por el afectado para el ejercicio de sus derechos.
7. Autorizar la puesta en marcha de la explotación de los datos de carácter personal mediante una nueva aplicación informática, o la realización de mejoras sustanciales sobre la existente.
8. Autorizar la aprobación de una política para la salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que esté ubicado el tratamiento.
9. Aprobar la corrección de los procedimientos establecidos para la asignación de contraseñas a fin de garantizar la confidencialidad de las mismas.
10. Aprobar los procedimientos de realización de copias de seguridad y de recuperación de los datos. 11. Aprobar las medidas correctoras que se deriven de la correspondiente auditoría.
12. Y, en general, cualquier obligación que se derive de la normativa que resulte de aplicación.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones para el Responsable Tratamiento RGPD – Pág. 16

Documento de Seguridad Ma del Mar Cremades Rosado
FUNCIONES ASIGNADAS A LOS USUARIOS
1. Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización.
2. Guardar todos los soportes físicos y/o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
3. Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter personal en los que se almacene información titularidad de la organización fuera de los locales de la misma, sin autorización previa del Responsable de Tratamiento. En el supuesto de existir traslado o distribución de soportes y documentos se realizará cifrando dichos datos, o mediante otro mecanismo que imposibilite el acceso o manipulación de la información por terceros.
4. Ficheros de carácter temporal o copias de documentos son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán cumplir con las medidas de seguridad asignadas. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable, para adoptar las medidas oportunas sobre el mismo.
5. Únicamente las personas autorizadas en un listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Responsable. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a datos personales o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable correspondiente.
6. Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
7. Cambiar las contraseñas a petición del sistema.
8. Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.
9. No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al ordenador personal, portátil o a cualquier otro soporte sin autorización expresa del Responsable correspondiente.
10. Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable de Seguridad correspondiente, a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.
11. Los usuarios tiene prohibido el envío de información de carácter personal sensible, salvo autorización expresa del Responsable que tenga asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros.
12. Los usuarios no podrán, salvo autorización expresa del Responsable que tenga asignada esta tarea, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador empleado en el puesto de trabajo.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones para los Usuarios RGPD – Pág. 17

Documento de Seguridad Ma del Mar Cremades Rosado
13. Queda prohibido:
a. Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
b. Intentar modificar o acceder al registro de accesos habilitado por el Responsable competente.
c. Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a datos o programas cuyo acceso no le haya sido permitido.
d. Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa.
e. Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos.
14. Mantener debidamente custodiadas las llaves de acceso a la organización, a sus despachos y a los armarios, archivadores u otros elementos que contengan datos de carácter personal no automatizados, debiendo poner en conocimiento del Responsable competente cualquier hecho que pueda haber comprometido esa custodia.
15. Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.
16. Asegurarse de que no quedan documentos impresos que contengan datos de carácter personal impresos en la bandeja de salida de la impresora.
17. Establecerse procedimientos en el copiado o reproducción de documentos, a fin que solo puedan acceder a las copias las personas habilitadas por el Responsable correspondiente.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones para los Usuarios RGPD – Pág. 18

Documento de Seguridad Ma del Mar Cremades Rosado
FUNCIONES ASIGNADAS A LOS USUARIOS DE DATOS NO AUTOMATIZADOS
1. Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la entidad.
2. Mantener debidamente custodiadas las llaves de acceso a la residencia, a sus despachos y a los armarios, archivadores u otros elementos que contengan datos no automatizados de carácter personal, debiendo poner en conocimiento del Responsable cualquier hecho que pueda haber comprometido esa custodia.
3. Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.
4. Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
5. Queda prohibido el traslado de cualquier listado o documento análogo con datos de carácter personal en los que se almacene información titularidad de la entidad fuera de los locales de la misma.
6. Guardar todos los soportes físicos o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
7. Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.
8. Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el Responsable. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable.
9. Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán contemplarse las medidas de seguridad contenidas en este documento.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones Usuarios datos NO automatizados RGPD – Pág. 19

Documento de Seguridad Ma del Mar Cremades Rosado
FUNCIONES ASIGNADAS A LOS USUARIOS ADMINISTRADORES INFORMÁTICOS
El usuario que tiene privilegios para la administración de equipos informáticos, debe conocer las obligaciones que le corresponden como personal informático. Debido al especial acceso que tiene el personal informático se le atribuyen unas responsabilidades complementarias:
1. Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización.
2. Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones.
3. En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al Responsable correspondiente.
4. Colaborar con el Responsable/s en la resolución de las incidencias que se le encarguen.
5. Desempeñar sus funciones con estricta observancia de las obligaciones dispuestas por el RGPD.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones Administradores Informáticos RGPD – Pág. 20

Documento de Seguridad Ma del Mar Cremades Rosado
FUNCIONES ASIGNADAS A LOS USUARIOS DE ATENCIÓN AL PÚBLICO
1. Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización.
2. Mantener en secreto sus claves de acceso al sistema, debiendo poner en conocimiento del Responsable cualquier hecho que pueda haber comprometido el secreto.
3. Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.
4. Cambiar las contraseñas a petición del sistema.
5. Cerrar o bloquear todas las sesiones al término de la jornada laboral.
6. Bloquear las sesiones en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.
7. Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
8. No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al propio ordenador, o a cualquier otro soporte sin autorización expresa del Responsable. Queda igualmente prohibido el traslado de cualquier soporte en los que se almacene información titularidad de la compañía fuera de los locales de la misma.
9. Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.
10. Guardar todos los soportes físicos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
11. Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.
12. Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los tratamientos objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el Responsable competente. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable.
13. Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán ser almacenados en la carpeta designada por el Responsable. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable, para adoptar las medidas oportunas sobre el mismo.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones Usuarios de Atención al Público RGPD – Pág. 21

Documento de Seguridad Ma del Mar Cremades Rosado
14. El correo electrónico es considerado por la entidad como elemento fundamental para las comunicaciones entre la organización y el resto de agentes, públicos o privados, que intervienen en las relaciones propias de la actividad desarrollada. Por ello, el correo electrónico sea cual sea la dirección asignada, se configura como una herramienta de trabajo no exclusiva, colectiva y de libre acceso, asignadas a áreas o puestos de trabajo y no a personas. Queda prohibido el uso del mismo para fines no relacionados con las funciones laborales encomendadas. El empleo del nombre o apellidos de los trabajadores o funcionarios junto al dominio de la organización en las direcciones de correo no significa la asignación por la organización de un correo personal, esto se realiza únicamente por motivos organizativos internos de asignación de áreas y puestos de trabajo. Los usuarios tienen prohibido el envío de Información de carácter personal sensible, salvo autorización expresa del Responsable. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros.
15. Los usuarios no podrán, salvo autorización expresa del Responsable, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador personal empleado para el desarrollo de su trabajo.
16. Conocer la existencia de derechos de los interesados (acceso, rectificación, cancelación, oposición, portabilidad, supresión y limitación), así como su procedimiento de respuesta ante el ejercicio de uno de ellos.
17. Queda prohibido:
a. Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
b. Intentar modificar o acceder al registro de accesos habilitado por el Responsable.
c. Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a datos o programas cuyo acceso no le haya sido permitido.
d. Utilizar Internet para tareas que no estén relacionadas directamente con las funciones asignadas al usuario. La organización regulará las modalidades de acceso y las restricciones o limitaciones del mismo. Queda prohibida la descarga de software o ficheros de cualquier tipo desde Internet, sin consentimiento expreso de la organización, y ello aunque resulte de un acceso consentido por motivos de trabajo.
e. Introducir contenidos en la red corporativa y/o ordenador personal que no guarden relación con la actividad y objetivos de la entidad.
f. Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa.
g. Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Funciones Usuarios de Atención al Público RGPD – Pág. 22

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO H Programas y aplicaciones
Lista de los programas Ofimáticos, Gestores de Facturación, Contabilidad, etc.. que traten datos
personales.
Programa / Aplicación:
Código: 1
Nombre: www.escuelacremades.com
Cantidad: 1
Fabricante: Propio
Finalidad y descripción: Gestión administrativa y comercial de la cartera de clientes y proveedores Tratamientos que realiza: Todos los tratamientos, Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico, Gestión de nóminas, Recursos humanos Equipos donde se ejecuta: Ordenador portátil (Acer EX2530 Series, MODELO N15W4)
Registro de accesos: NO
Fecha de alta: Fecha de baja:
Programa / Aplicación:
Código: 2
Nombre: Microsoft Office
Cantidad: 1
Fabricante: Microsoft
Finalidad y descripción: Gestión administrativa y comercial de la cartera de clientes y proveedores Tratamientos que realiza: Todos los tratamientos, Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico, Gestión de nóminas, Recursos humanos Equipos donde se ejecuta: Ordenador portátil (Acer EX2530 Series, MODELO N15W4)
Registro de accesos: NO
Fecha de alta: Fecha de baja:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo H Programas – Pág. 23

Documento de Seguridad Ma del Mar Cremades Rosado
ANEXO H Equipamiento
Inventario de los equipos informáticos que tratan datos personales.
Características del equipos/s
Código: 1
Tipo equipo: Ordenador portátil Cantidad: 1
Descripción: Acer EX2530 Series, MODELO N15W4
Tratamientos que realiza: Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico, Gestión de nóminas, Recursos humanos,
Local donde se encuentra este equipo: Sede Principal,
Sistema operativo: Windows 10
Antivirus: Windows Defender, Firewall de red
Fecha de alta: Fecha de baja:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Anexo H Equipos – Pág. 24

Documento de Seguridad Ma del Mar Cremades Rosado
Medidas proactivas Relación de soportes
Lista de soportes utilizados que contienen datos personales.
Soporte:
Código: 1
Referencia del soporte: 01
Soporte: Backup remoto
Fecha de alta:
Datos que contiene: Gestión de clientes, contable, fiscal y administrativa, Publicidad y prospección comercial, Comercio electrónico, Gestión de nóminas, Recursos humanos
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Medidas proactivas Soportes – Pág. 25

Documento de Seguridad Ma del Mar Cremades Rosado
MEDIDAS PROACTIVAS Registro de copias realizadas
En este apartado se archivan los registros de las copias de seguridad realizadas. En el caso de reutilización o eliminación de soportes grabados con datos personales se utilizará una aplicación informática para el borrado y formateo físico de los datos.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Medida proactiva Copias Introducción – Pág.

Documento de Seguridad
Ma del Mar Cremades Rosado
ANEXO H
Registro manual de las copias realizadas
Ref. Soporte
Fecha Copia
Datos que contiene
Responsable
Resultado de la copia
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Anexo H Copias – Pág. 26

Documento de Seguridad Ma del Mar Cremades Rosado
9) CONTRATOS
Prestación de servicios con acceso a datos:
1. Contratos de Encargados de tratamiento (si existieran).
Prestación de servicios sin acceso a datos:
1. Contrato de prestación de servicios sin acceso a datos de carácter personal,(si existieran).
Acuerdo de cesiones:
1. Contrato de acuerdo de cesión de datos (si existieran).
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Portada contratos

Documento de Seguridad
Ma del Mar Cremades Rosado
CONTRATOS
En este apartado puede encontrar:
– Contratos de Encargados de tratamiento
– Contratos de prestación de servicios sin acceso a datos personales – Acuerdos de cesión de datos
PRESTACIONES DE SERVICIO CON ACCESO A DATOS:
No se considerará comunicación de datos el acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio.
En este caso cuando un tercero presta servicio a Ma del Mar Cremades Rosado y para ello necesita realizar un acceso a datos que están bajo la responsabilidad de Ma del Mar Cremades Rosado (en adelante el Responsable del tratamiento), a este tercero con acceso a datos se le denominará como ENCARGADO DE TRATAMIENTO y se seguirá las siguientes directrices:
El Responsable del tratamiento y el Encargado de tratamiento deberán firmar un contrato para legalizar esta situación.
Estos son los contratos de Encargados de tratamiento que encontrará en este apartado con su asesoría laboral, asesoría fiscal, prevención de riesgos laborales, mantenimiento informático, etc…
PRESTACIONES DE SERVICIO SIN ACCESO A DATOS:
El Responsable del tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer de forma accidental con motivo de la prestación del servicio.
En este apartado encontrará los contratos para legitimar esta situación con su empresa de limpieza, mantenimiento de extintores, etc…
COMUNICACIÓN / CESIÓN DE DATOS:
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Para realizar una cesión de datos, deberá firmar el/los acuerdos de cesión de datos que encuentre en este apartado, así como obtener el consentimiento (mediante el aviso legal que encontrará en el apartado correspondiente) del titular de los datos que vayan a ser contenido de la cesión.
No será necesario ni el acuerdo de cesión de datos, ni el consentimiento del titular, siempre y cuando la cesión de datos sea obligatoria y/o esta autorizada por Ley (cesiones a: bancos y cajas de ahorro, administración tributaria, seguridad social, entidades aseguradoras, etc…).
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Introducción

Documento de Seguridad Ma del Mar Cremades Rosado
CONTRATO DE ACCESO A DATOS POR CUENTA DE TERCEROS
En Alzira, a $FechaContrato$
REUNIDOS
De una parte, Ma del Mar Cremades Rosado con NIF/CIF 20830197V, y domicilio social en C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA.
Representada por el Sr./a Ma del Mar Cremades Rosado con NIF 20830197V.
(En adelante, el RESPONSABLE DEL TRATAMIENTO).
Y de otra parte, $ENCARGADO$ con NIF/CIF $NIF$, y domicilio social en $DIRECCION_COMPLETA$. Representada por el Sr./a $REPRESENTATE$ con NIF $NIF_REPRESENTANTE$.
(En adelante, el ENCARGADO DEL TRATAMIENTO).
1. Objeto del encargo del tratamiento
Mediante las presentes cláusulas se habilita a la entidad $ENCARGADO$, encargada del tratamiento, para tratar por cuenta de Ma del Mar Cremades Rosado, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de $SERVICIOS$
Descripción detallada del servicio: $DESCRIPCION_SERVICIOS$
La concreción de los tratamientos a realizar es: $CONCRECION_TRATAMIENTO$
2. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación: $INFORMACION_PARA_ENCARGADO$
3. Duración
El presente acuerdo tiene una duración de $DURACION_CONTRATO$
4. Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
B. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado – Pág. 1

Documento de Seguridad Ma del Mar Cremades Rosado
C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD,
la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida, en caso de incidente físico o técnico.
d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas
técnicas y organizativas para garantizar la seguridad del tratamiento.
Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento.
D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
E. Subcontratación $SUBCONTRATACION$
F. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
G. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
H. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
I. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado – Pág. 2

Documento de Seguridad Ma del Mar Cremades Rosado
J. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1. Acceso, rectificación, supresión y oposición
2. Limitación del tratamiento
3. Portabilidad de datos
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)
$TIPO_ASISTENCIA_ENCARGADO$
K. Derecho de información $DERECHO_INFORMACION$
L. Notificación de violaciones de la seguridad de los datos
El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de $PLAZO_COMUNICACION_VIOLACION$, y a través de $MEDIO_COMUNICACION_VIOLACION$, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
El plazo debe ser inferior a 72 horas en cualquier caso. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
$DEBER_NOTIFICACION_VIOLACION$
M. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la
protección de datos, cuando proceda.
N. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
O. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
P. Medidas de seguridad $CONDUCTA_MEDIDAS_SEGURIDAD$
En todo caso, deberá implantar mecanismos para:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado – Pág. 3

Documento de Seguridad Ma del Mar Cremades Rosado
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
Q. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
$DELEGADO_PROTECCION_DATOS$
El delegado de protección de datos debe designarse cuando:
a) El tratamiento lo lleve a cabo una autoridad o un organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
R. Destino de los datos
$DESTINO_DATOS$
5. Obligaciones del responsable del tratamiento Corresponde al responsable del tratamiento:
a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones
de tratamiento a realizar por el encargado.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte
del encargado.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Fdo. por el RESPONSABLE DEL TRATAMIENTO Fdo. por el ENCARGADO DEL TRATAMIENTO
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado – Pág. 4

Documento de Seguridad Ma del Mar Cremades Rosado
CONTRATO DE ACCESO A DATOS POR CUENTA DE TERCEROS
En Alzira, a $FechaContrato$
REUNIDOS
De una parte, $ENCARGADO$ con NIF/CIF $NIF$, y domicilio social en $DIRECCION_COMPLETA$. Representada por el Sr./a $REPRESENTATE$ con NIF $NIF_REPRESENTANTE$.
(En adelante, el RESPONSABLE DEL TRATAMIENTO).
Y de otra parte, Ma del Mar Cremades Rosado con NIF/CIF 20830197V, y domicilio social en C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA.
Representada por el Sr./a Ma del Mar Cremades Rosado con NIF 20830197V.
(En adelante, el ENCARGADO DEL TRATAMIENTO).
1. Objeto del encargo del tratamiento
Mediante las presentes cláusulas se habilita a la entidad Ma del Mar Cremades Rosado, encargada del tratamiento, para tratar por cuenta de $ENCARGADO$, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de $SERVICIOS$
Descripción detallada del servicio: $DESCRIPCION_SERVICIOS$
La concreción de los tratamientos a realizar es: $CONCRECION_TRATAMIENTO$
2. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación: $INFORMACION_PARA_ENCARGADO$
3. Duración
El presente acuerdo tiene una duración de $DURACION_CONTRATO$
4. Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
B. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado Invertido – Pág. 1

Documento de Seguridad Ma del Mar Cremades Rosado
C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD,
la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida, en caso de incidente físico o técnico.
d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas
técnicas y organizativas para garantizar la seguridad del tratamiento.
Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento.
D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
E. Subcontratación $SUBCONTRATACION$
F. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
G. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
H. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
I. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado Invertido – Pág. 2

Documento de Seguridad Ma del Mar Cremades Rosado
J. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1. Acceso, rectificación, supresión y oposición
2. Limitación del tratamiento
3. Portabilidad de datos
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)
$TIPO_ASISTENCIA_ENCARGADO$
K. Derecho de información $DERECHO_INFORMACION$
L. Notificación de violaciones de la seguridad de los datos
El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de $PLAZO_COMUNICACION_VIOLACION$, y a través de $MEDIO_COMUNICACION_VIOLACION$, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
El plazo debe ser inferior a 72 horas en cualquier caso. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
$DEBER_NOTIFICACION_VIOLACION$
M. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la
protección de datos, cuando proceda.
N. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
O. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
P. Medidas de seguridad $CONDUCTA_MEDIDAS_SEGURIDAD$
En todo caso, deberá implantar mecanismos para:
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado Invertido – Pág. 3

Documento de Seguridad Ma del Mar Cremades Rosado
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
Q. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
$DELEGADO_PROTECCION_DATOS$
El delegado de protección de datos debe designarse cuando:
a) El tratamiento lo lleve a cabo una autoridad o un organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
R. Destino de los datos
$DESTINO_DATOS$
5. Obligaciones del responsable del tratamiento Corresponde al responsable del tratamiento:
a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones
de tratamiento a realizar por el encargado.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte
del encargado.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Fdo. por el RESPONSABLE DEL TRATAMIENTO Fdo. por el ENCARGADO DEL TRATAMIENTO
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato Encargado Invertido – Pág. 4

Documento de Seguridad Ma del Mar Cremades Rosado
CONTRATO DE PRESTACIÓN DE SERVICIOS SIN ACCESO A DATOS DE CARÁCTER PERSONAL
En Alzira, a $FechaContrato$
REUNIDOS
De una parte, Ma del Mar Cremades Rosado con NIF/CIF 20830197V, y domicilio social en C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA.
Representada por el Sr./a Ma del Mar Cremades Rosado con NIF 20830197V.
(En adelante, el RESPONSABLE DEL TRATAMIENTO).
Y de otra parte, $NombreEncargado$ con NIF/CIF $NifEncargado$, y domicilio social en $DireccionCpLocProvEncargado$.
Representada por el Sr./a $NombreRepresentanteEncargado$ con NIF $NifRepresentanteEncargado$.
(En adelante, el PRESTADOR DE SERVICIOS).
Ambas partes se declaran, según intervienen, con capacidad suficiente para suscribir el presente CONTRATO SIN ACCESO A DATOS POR CUENTA DE TERCEROS, y puestas previamente de acuerdo,
MANIFIESTAN
I.- Que EL PRESTADOR DE SERVICIOS se halla en la actualidad prestando determinados servicios de: $SERVICIOS_SIN_ACCESO$$DESCRIPCION_SERVICIOS$ al Responsable del tratamiento.
II.- Para el correcto cumplimiento de estos servicios, EL PRESTADOR DE SERVICIOS no tiene acceso a datos de carácter personal titularidad del Responsable del tratamiento.
III.- El prestador de servicios se compromete a que el personal designado para la prestación del/los citado/s servicio/s cumpla con las siguientes:
ESTIPULACIONES. PRIMERA.- Prohibición de acceder a los datos de carácter personal.
El personal del PRESTADOR DE SERVICIOS tiene prohibido, terminantemente, el acceso a los datos personales, contenidos en los diferentes soportes, informático o en papel, así como en los recursos del sistema de información, para la realización del trabajo encomendado.
En caso de haber tenido un acceso o conocimiento, directo o indirecto, de datos personales tratados por el Responsable del tratamiento, estarán a lo dispuesto en la estipulación SEGUNDA de la presente ADENDA.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato sin acceso a datos – Pág. 1

Documento de Seguridad Ma del Mar Cremades Rosado
SEGUNDA.- Deber de secreto.
Si por motivo de la realización del trabajo, el personal del PRESTADOR DE SERVICIOS hubiere tenido acceso o conocimiento, directo o indirecto, de datos de carácter personal tratados por el Responsable del tratamiento, tendrá la obligación de mantener el deber de secreto respecto a la información accedida, aún después de haber cesado su relación laboral con el PRESTADOR DE SERVICIOS.
Es obligación de este último, comunicar este deber a su personal, así como cuidar de su cumplimiento.
En el caso de que el personal del PRESTADOR DE SERVICIOS incumpla con el deber de secreto, efectuare una cesión o comunicación de los datos personales a terceros (entendiendo ésta como la revelación de datos personales a persona distinta del titular de los datos), o los utilizase para cualquier otro menester, a los efectos del RGPD, el PRESTADOR DE SERVICIOS será considerado como Responsable del Tratamiento, respondiendo así, de las infracciones previstas y fijadas en la citada norma.
TERCERA.- Responsabilidad.
Ambas partes se comprometen a respetar, en el cumplimiento de las obligaciones que se derivan de este documento, toda la legislación que resulte aplicable, muy en particular, las obligaciones impuestas y determinadas por el RGPD. Cada parte deberá hacer frente a la responsabilidad que se derive de su propio incumplimiento de dicha legislación y normativa.
CUARTA.- Fuero.
Las partes, para la resolución de cualquier conflicto que pudiera surgir en la interpretación y aplicación del presente contrato, se someten a la jurisdicción de los Juzgados y Tribunales más cercanos al domicilio del responsable del tratamiento, con renuncia expresa al fuero que por Ley pudiera corresponderles.
Fdo. por el RESPONSABLE DEL TRATAMIENTO Fdo. por el PRESTADOR DE SERVICIOS
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 RGPD Contrato sin acceso a datos – Pág. 2

Documento de Seguridad
Ma del Mar Cremades Rosado
CONTRATO DE CESIÓN DE DATOS
En_____________________, a ____ de______________ de ____
REUNIDOS
De una parte, Ma del Mar Cremades Rosado, con CIF/NIF 20830197V y domicilio social situado en C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA (en adelante, el CEDENTE -aquel que comunica los datos-).
Y, de otra parte, $Cesionario$, con CIF/NIF $NifCesionario$ y domicilio social situado en $DireccionCpLocProvCesionario$ (en adelante, el CESIONARIO -aquel al que le son comunicados los
datos-).
EXPONEN
1) Ambas partes se reconocen recíprocamente la capacidad legal necesaria para suscribir el presente contrato.
2) Que el CEDENTE, como Responsable del Tratamiento, ha creado y registrado un tatamiento con la finalidad: $FinalidadCesion$.
3) Que el CEDENTE, declara que, cumpliendo con lo establecido en el artículo 6 del Reglamento General de Protección de Datos (en adelante, RGPD), ha obtenido el consentimiento de los titulares de los datos de carácter personal para la cesión de los mismos a Terceros y que se encuentran almacenados en el tratamiento descrito anteriormente para la cesión de los mismos a Terceros.
4) Que el CESIONARIO presta servicios relacionados con: $ServicioCesionario$, los datos que le son cedidos los utilizará con la misma finalidad que Ma del Mar Cremades Rosado.
5) Que el CEDENTE y CESIONARIO declaran que la cesión de datos se realiza con fines directamente relacionados con las funciones legítimas de ambos, y convienen en suscribir el presente CONTRATO, con sujeción a las siguientes:
CLÁUSULAS
PRIMERA.- El objeto del presente Contrato es establecer las obligaciones de confidencialidad y seguridad de los datos, que el CESIONARIO, de conformidad con la normativa vigente en materia de protección de datos personales, se compromete a cumplir.
SEGUNDA.- Obligaciones del CESIONARIO:
a) Guardar la máxima reserva y confidencialidad sobre los datos a los que tenga acceso, comprometiéndose a no divulgarlos, publicarlos, ni de otra forma directa o indirecta ponerlos a disposición de Terceros, ni total ni parcialmente, con otros fines que los autorizados por Ma del Mar Cremades Rosado. El personal al servicio del CESIONARIO suscribirá el correspondiente acuerdo de confidencialidad y deber de secreto, en el que se regularan las prescripciones necesarias para dar cumplimiento a las obligaciones previstas en el presente Contrato.
b) Respetar todas aquellas medidas de seguridad, técnicas u organizativas, que Ma del Mar Cremades Rosado establezca para garantizar la confidencialidad de la información que contenga datos personales.
c) Cumplir las disposiciones del RGPD.
La duración de las obligaciones contenidas en el presente documento es de carácter indefinido y se mantendrá en vigor con posterioridad a la finalización por cualquier causa de la relación entre el CEDENTE y CESIONARIO.
TERCERA.- Los datos de carácter personal objeto de la cesión serán utilizados única y exclusivamente por el CESIONARIO para la finalidad de $FinalidadCesion$, que ha sido acordada por ambas partes. No podrá hacerse uso de estos datos para otra finalidad distinta de la aquí descrita.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Contrato de cesión de datos RGPD – Pág. 3

Documento de Seguridad Ma del Mar Cremades Rosado
CUARTA.- Que el CEDENTE, se obliga a informar de la cesión de los datos a sus titulares, indicando la naturaleza de los datos, la finalidad a la que se destinarán, la identidad del cesionario y la dirección del mismo.
QUINTA.- Que el CEDENTE, se obliga, a informar y dar respuesta a las solicitudes de derechos de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado, interpuestas por los titulares, y a notificar al CESIONARIO los datos del titular que ha de rectificar, suprimir o limitar su tratamiento, teniendo éste último la obligación de cumplir las instrucciones comunicadas por el CEDENTE y cualesquiera otras legalmente establecidas.
SEXTA.- Que el CESIONARIO se hace responsable frente al CEDENTE por los daños y perjuicios causados -incluyendo las sanciones administrativas- que se deriven de reclamaciones judiciales o extrajudiciales de Terceros o de procedimientos sancionadores abiertos por la Autoridad de Control en materia de Protección de Datos competente, que sean consecuencia de la inobservancia de las obligaciones asumidas en el presente Contrato. Y para que conste a los efectos oportunos, en prueba de conformidad de las partes, firman el presente Contrato, por duplicado, en el lugar y la fecha indicados en el encabezamiento.
El cesionario: $Cesionario$
Fdo. por el representante:
$RepresentanteCesionario$ $NifRepresentanteCesionario$
Fdo. por: El Responsable del Tratamiento (Cedente)
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Contrato de cesión de datos RGPD – Pág. 4

Documento de Seguridad
Ma del Mar Cremades Rosado
10) PERSONAL
Documentos, impresos y recibos cumplimentados:
1. Impresos para trabajadores (si existieran).
2. Recibos del manual de usos y recomendaciones (si existieran).
Asesores LOPD – Versión: 1 Fecha: 04/11/2019
Portada personal

Documento de Seguridad Ma del Mar Cremades Rosado
Impreso para trabajadores Nombre y Apellidos: $NombreTrabajador$
D.N.I. / N.I.F.: $NifTrabajador$
De acuerdo con lo establecido en el Reglamento General de Protección de Datos, le informamos que sus datos personales serán incorporados a nuestro sistema de tratamiento, con la finalidad de gestionar nuestra relación laboral. Que se conservarán mientras se mantenga dicha relación con el responsable o el tiempo necesario para cumplir con las obligaciones legales, y que los trataremos en base a la ejecución de un contrato laboral.
Los datos han podido ser comunicados a terceras empresas que realizan servicios de prevención de riesgos laborales y asesoría laboral, con la finalidad de llevar a cabo el cumplimiento de obligaciones legales con la seguridad social, tributarias, fiscales y el correcto funcionamiento de los recursos humanos de la empresa.
Asimismo, le informamos de la posibilidad de ejercer los siguientes derechos sobre sus datos personales: derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado.
Para ello podrá enviar un email a: info@escuelacremades.com o dirigir un escrito a Ma del Mar Cremades Rosado C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA
Además, el interesado puede dirigirse a la Autoridad de Control en materia de Protección de Datos competente para obtener información adicional o presentar una reclamación.
Datos identificativos del responsable:
Ma del Mar Cremades Rosado, 20830197V, C/ Plaza del Carbon No 8 – 46600 – Alzira – VALENCIA, 961034875
Y para que así conste firmo la presente en …………………………………., a………de ………………… de 20…..
Firmado: $NombreTrabajador$
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Impreso trabajadores RGPD – Pág. 5

Documento de Seguridad Ma del Mar Cremades Rosado
11) AEPD Autoridad de Control en materia de Protección de Datos
Apartado para archivar la documentación o comunicaciones remitidas.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 AEPD

Documento de Seguridad Ma del Mar Cremades Rosado
12) Antonio Muriel González
Apartado para archivar la documentación relativa al consultor, profesional o empresa que realiza la adaptación.
Asesores LOPD – Versión: 1 Fecha: 04/11/2019 Consultor

WhatsApp chat