1. DESCRIPCIÓN DEL PROYECTO
1.1 Promotor del proyecto
- Nombre o razón social: MARPEDENTAL, S.L.
- Ubicación de las instalaciones: FERNANDO IV , 27 -SEVILLA-41011-SEVILLA
1.2 Funcionalidades previstas e implantación
El Reglamento General de Protección de Datos (RGPD) requiere que los responsables del tratamiento apliquen medidas adecuadas para garantizar y poder demostrar el cumplimiento de dicho reglamento, teniendo en cuenta entre otros «los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas» (artículo 24, apartado 1). La obligación de los responsables del tratamiento de llevar a cabo una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en determinadas circunstancias debe entenderse en el contexto de su obligación general de gestionar adecuadamente los riesgos derivados del tratamiento de datos personales.
Un «riesgo» es un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad. Por otra parte, la «gestión de riesgos» puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.
El artículo 35 se refiere a un probable alto riesgo «para los derechos y libertades de las personas». Como se indica en la declaración del Grupo de Trabajo sobre protección de datos del artículo 29 sobre la función de un enfoque basado en el riesgo de los marcos jurídicos sobre protección de datos, la referencia a «los derechos y libertades» de los interesados atañe principalmente a los derechos a la protección de datos y a la intimidad, pero también puede implicar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, la libertad de circulación, la prohibición de discriminación, el derecho a la libertad y la libertad de conciencia y de religión.
1.3 Personas o grupos de personas afectadas
La obligación de realizar una EIPD corresponde al responsable del tratamiento, con el apoyo y colaboración del responsable de seguridad y del delegado de protección de datos.
Responsable del tratamiento: MARPEDENTAL, S.L.
Responsable de seguridad: MIGUEL ANGEL MARRUFO SANCHEZ
Delegado de protección de datos: Infocitec, S.L.U.
2. IDENTIFICACIÓN Y CLASIFICACIÓN DE LOS DATOS
Los datos personales que se tratan en la instalación vienen descritos en el Registro de Actividades y se agrupan en las siguientes categorías de datos personales:
GESTION PACIENTES
GESTION LABORAL
BOLSA DE TRABAJO
VIDEOVIGILANCIA
Además de esos datos, es indispensable tener en cuenta las categorías especiales de datos personales definidas en el artículo 9 del RGPD, los relativos a condenas e infracciones penales según el artículo 10, y los datos relativos a geolocalización (que implican “observación sistemática a gran escala” según el artículo 35.3.c) del RGPD. Las operaciones de tratamiento efectuadas con alguno de estos datos incrementa el riesgo, por lo que debemos tenerlos en cuenta para el resultado final de éste análisis.
En el punto 4 se indica si la instalación trata alguno de esos tipos de datos.
3. OPERACIONES DE TRATAMIENTO
De acuerdo a la definición de tratamiento que proporciona el RGPD, las operaciones de tratamiento que realiza la instalación, con respecto a los datos personales que maneja, son las siguientes: recogida, registro, organización, conservación, modificación, extracción, consulta, utilización, comunicación, limitación y supresión o destrucción. Cualquier otra operación que se realice con datos personales también se considerará “tratamiento”
4. ANÁLISIS DE LA NECESIDAD DE HACER LA EVALUACIÓN DE IMPACTO
El presente informe se realiza con el propósito de determinar la necesidad de la realización de una EIPD en función del resultado obtenido en base al sector de actividad, a los datos personales que se recogen, a la finalidad de dicha recogida de datos y otra serie de cuestiones. Para ello, se han tenido en cuenta los 3 niveles de análisis que propone la Autoridad Catalana de Protección de Datos en la Guía Práctica publicada en junio de 2017 titulada “Evaluación de impacto relativa a la protección de datos”:
- Primer nivel de análisis: verificar si el tratamiento está incluido en alguna de las listas previstas en los artículos y 35.5 del RGPD:
- 35.4. “La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.”
- 35.5. “La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.”
Si el tratamiento efectuado en la instalación aparece en la lista de obligados, se debe realizar EIPD, pero si no aparece en esa lista, ni en la de excluidos, se debe pasar al segundo nivel de análisis.
- Segundo nivel de análisis: determinar si el tratamiento está incluido en los casos previstos en el artículo 35.3 del RGPD, que son los siguientes:
- Cuando la finalidad es la evaluación «sistemática y exhaustiva», de carácter automatizado, de varios aspectos de la persona, en general cuando se elaboran perfiles y su alcance implica efectos de tipo jurídico, o que pueden afectar significativamente a las personas como consecuencia de la toma de decisiones basadas en la información que se trata.
- Cuando se pretenden tratar categorías especiales de datos a gran escala (gran volumen de información, gran cantidad de personas afectadas, amplia extensión geográfica,…).
- Cuando se realiza observación sistemática a gran escala de zonas de acceso público. Se debe interpretar el concepto «observación» de manera amplia, como equivalente de «seguimiento»; por lo tanto, no tiene por qué limitarse a los sistemas de videovigilancia, sino que su alcance incluye cualquier tratamiento que implique la monitorización de personas. En éste punto se incluyen los datos relativos a geolocalización (que implica el tratamiento de datos cuya finalidad es conocer la ubicación geográfica de personas físicas).
La necesidad de realización de una EIPD viene descrita también en el considerando nº 91 del RGPD, en el que se introduce una excepción para determinar la obligación o no de realizarla: “…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria”.
Si el tratamiento no encaja en ninguno de éstos tres casos tampoco, no se puede afirmar que no sea necesaria la EIPD, sino que se debe pasar al tercer nivel de análisis.
- Tercer nivel de análisis: valorar la naturaleza del tratamiento, el alcance y las finalidades de manera más amplia. Para ello tenemos en cuenta los criterios que el grupo de trabajo del artículo 29 (GT29), órgano consultivo independiente de la UE en materia de protección de datos, propone en su guía WP 248 para detectar el alto riesgo. En base a esa guía, y junto con las cuestiones que plantea la herramienta “FACILITA” realizada por la Agencia Española de Protección de datos, para el cumplimiento de empresas con bajo riesgo, evaluamos el riesgo existente en la instalación cumplimentando lo siguiente:
| Actividades | |
| Actividades de servicios sociales | |
| Actividades políticas, sindicales o religiosas | |
| Entidades bancarias y financieras | |
| Generación y uso de perfiles | |
| Sanidad |
X |
| Seguros | |
| Servicios de telecomunicaciones | |
| Solvencia patrimonial y crédito | |
| Videovigilancia masiva (zonas de acceso público) | |
| Categorías Especiales de Datos | |
| Datos biométricos para identificar a una persona (huella dactilar, reconocimiento facial,…) | |
| Datos de afiliación sindical (excepto cuotas sindicales) | |
| Datos de opiniones políticas o convicciones religiosas | |
| Datos de salud física o mental |
X |
| Datos genéticos | |
| Datos que revelen origen étnico o racial | |
| Datos relativos a condenas o infracciones penales | |
| Datos relativos a la vida sexual o a la orientación sexual | |
| Finalidades | |
| Gestión, control sanitario o venta de medicamentos | |
| Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical | |
| Hacer o analizar perfiles (evaluación sistemática y exhaustiva de aspectos personales que se base en un tratamiento automatizado y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para esas personas, que les afecten significativamente o puedan perjudicar de alguna manera) | |
| Hacer publicidad y prospección comercial masiva a potenciales clientes | |
| Historial clínico o sanitario |
X |
| Prestación de servicios de explotación de redes públicas o servicios de comunicación electrónica (proveedorde servicios de Internet) | |
| Otras cuestiones específicas | |
| El tratamiento de datos personales lo realiza un sólo médico o profesional de la salud; o un abogado. | |
| Se cruzan los datos obtenidos de los interesados con otros disponibles de otras fuentes (por ejemplo: cruzar los datos de clientes con ficheros de solvencia patrimonial) | |
| Se guardan datos de una gran cantidad de personas (por ejemplo: hospitales, bancos, aseguradoras, grandes empresas,. ) | |
| Se realizan transferencias internacionales de datos a paises fuera de la UE y que no cuentan con lasmedidas de protección similares a las establecidas por la Autoridad de Control. Los siguientes paises se consideran seguros: Andorra, Argentina, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay. | |
| Se recogen datos de geolocalización (rastreo automatizado de la ubicación geográfica de personas). | |
| Se tratan datos de personas vulnerables (menores, discapacitados mentales, ancianos, personas con riesgode exclusión,.. ) | |
5. IDENTIFICACIÓN DE PERSONAS Y GRUPOS AFECTADOS POR LOS TRATAMIENTOS
Los colectivos de personas afectadas que se tratan en la instalación vienen descritos en el Registro de Actividades en el apartado dedicado a los colectivos, se acuerdo a la siguiente tabla:
| TRATAMIENTO | COLECTIVOS |
| BOLSA DE TRABAJO | SOLICITANTES |
| GESTIÓN LABORAL | EMPLEADOS |
| GESTIÓN PACIENTES | PACIENTES |
| PADRES O TUTORES | |
| VIDEOVIGILANCIA | PERSONAS QUE ACCEDEN A LAS INSTALACIONES. |
6. CONCLUSIONES Y RECOMENDACIONES
En consonancia con el enfoque basado en el riesgo introducido por el RGPD, no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento. Por el contrario, solo se requiere «cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35.1). No obstante, el mero hecho de que las condiciones que dan lugar a la obligación de llevar a cabo una EIPD no se hayan cumplido no disminuye la obligación general de los responsables del tratamiento de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados. En la práctica, esto significa que los responsables deben evaluar continuamente los riesgos creados por sus actividades de tratamiento a fin de identificar cuando es probable que un tipo de tratamiento entrañe «un alto riesgo para los derechos y libertades de las personas físicas».
En base al análisis efectuado en el punto 4 del presente informe, se puede concluir que existe un cierto nivel de riesgo para los derechos y libertades de los interesados con respecto a sus datos personales, por lo que se hace necesaria la realización de una EIPD. A continuación se incluye el informe correspondiente a la EIPD realizada en la instalación.
En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta a tratamiento de datos personales y a la libre circulación de éstos datos, así como en el resto de normativa vigente en materia de protección de datos, el PROPIETARIO DE LA WEB le informa de lo siguiente:
¿Quién es el responsable del tratamiento de sus datos?
El responsable del tratamiento es el PROPIETARIO DE LA WEB cuyos datos identificativos se encuentran en el punto 1 del AVISO LEGAL.
¿Con que finalidad tratamos sus datos personales?
El PROPIETARIO DE LA WEB tratará la información que facilite el usuario a través del Sitio Web con el fin de gestionar la prestación de los servicios solicitados y la gestión administrativa derivada de los mismos, así como remitir periódicamente newsletters, comunicaciones comerciales sobre servicios, eventos y noticias relacionadas con la actividad profesional del PROPIETARIO DE LA WEB cuando el usuario lo autorice, y para valorar la candidatura del usuario en el caso de que se recojan curriculums a través de la web.
¿Durante cuánto tiempo se conservarán sus datos?
Los datos personales se conservarán mientras el usuario no solicite la supresión de los mismos y, en todo caso, durante los años necesarios para cumplir las obligaciones legales que establezca la normativa vigente, o para hacer frente a las posibles responsabilidades que pudiesen surgir.
¿Cuál es la legitimación para el tratamiento de sus datos?
La legitimación del PROPIETARIO DE LA WEB para llevar a cabo el tratamiento de los datos de los usuarios se basa en el consentimiento del interesado.
¿A qué destinatarios se comunicarán sus datos?
Con carácter general los datos no serán cedidos a terceros, salvo que lo establezca la legislación vigente.
¿Cuáles son los derechos del usuario?
El usuario tiene derecho a obtener confirmación sobre si el PROPIETARIO DE LA WEB está tratando datos personales que le conciernan o no. Tienen derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar la supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que motivaron su recogida. En determinadas circunstancias el usuario podrá solicitar la limitación del tratamiento de sus datos personales, en cuyo caso únicamente se conservaran bloqueados para el ejercicio o la defensa en reclamaciones. En determinadas circunstancias y por motivos relacionados con su situación particular, los usuarios podrán oponerse al tratamiento de sus datos, en cuyo caso el PROPIETARIO DE LA WEB dejará de tratar sus datos, salvo por motivos legítimos imperiosos, o el ejercicio o defensa de posibles reclamaciones. Además de los derechos anteriores, el usuario también tendrá el derecho a retirar el consentimiento y el derecho a presentar una reclamación ante la Autoridad de Control. Dispone de la información necesaria en www.agpd.es. Podrá ejercitar materialmente sus derechos aportando copia de su DNI o documento oficial que le identifique, mediante el envío de un mail o por correo postal dirigiéndose al PROPIETARIO DE LA WEB, cuyos datos identificativos se encuentran en el punto 1 del AVISO LEGAL.
¿Qué medidas de seguridad implantamos para proteger sus datos?
El PROPIETARIO DE LA WEB tratará los datos del Usuario en todo momento de forma absolutamente confidencial y guardando el preceptivo deber de secreto respecto de los mismos, de conformidad con lo previsto en la normativa de aplicación, adoptando al efecto las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.