93 11 55 111

Política de Protección de Datos

POLÍTICA DE PROTECCIÓN DE DATOS

 

Introducción

El objetivo de esta Política es establecer las directrices que todos los niveles de la entidad deberán seguir en materia de Protección de Datos de carácter Personal.

Esta Política contiene una descripción de los elementos clave, tanto humanos como organizativos, tecnológicos y documentales, que la SAROU, S.L. aplica para proteger los datos de carácter personal, evitando que se produzcan vulneraciones de los derechos y libertades de los interesados.

En todos los niveles de la entidad se velará por la aplicación real y efectiva de las directrices establecidas en esta Política en materia de protección de datos, de manera que este sistema de autorregulación consiga la eliminación de comportamientos que pudieran poner en riesgo los datos personales tratados por la entidad.

Ámbito de aplicación

  • Ámbito Societario. – Esta Política será aplicable en SAROU, S.L. (en adelante en este documento, Tarinas Real Estate & Investments).
  • Ámbito personal. – Esta Política será aplicable a todos los niveles de Tarinas Real Estate & Investments, incluyendo los órganos de administración, los cargos directivos, los órganos de control y la totalidad del personal.
  • Ámbito relacional. – El ámbito de aplicación de esta Política se extenderá, en la medida de lo posible, a los proveedores, asesores, clientes y otros terceros de Tarinas Real Estate & Investments.
  • Ámbito geográfico. – Esta Política se aplicará a las relaciones públicas y privadas que Tarinas Real Estate & Investments establezca en cualquier ámbito geográfico.

Normativas aplicables

Esta Política está adaptada a la siguiente normativa:

  • Reglamento General de Protección de Datos de la UE (RGPD)
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
  • Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen

Se harán las adaptaciones necesarias de esta Política en función de los cambios legislativos que se produzcan, así como a los criterios establecidos en:

  • Las guías, informes y resoluciones de la Agencia Española de Protección de Datos
  • Las guías, informes y resoluciones de las autoridades de control de los restantes Estados miembros de la Unión Europea
  • El Grupo de Trabajo del Artículo 29
  • Las sentencias del Tribunal de Justicia de la Unión Europea
  • Las sentencias de la Audiencia Nacional, el Tribunal Supremo y el Tribunal Constitucional

 

Riesgos del negocio en materia de Protección de Datos

La especial naturaleza de los datos personales, la complejidad de la normativa aplicable y la cuantía de las sanciones establecidas en ella generan riesgos como el acceso no autorizado, la copia no autorizada, la comunicación o la cesión a terceros y otras infracciones previstas en el RGPD y la normativa local.

Los riesgos derivados del incumplimiento de las obligaciones legales establecidas en materia de protección de datos son los siguientes:

  • Sanciones administrativas
  • Delitos contra la intimidad
  • Indemnizaciones de daños y perjuicios
  • Daños reputacionales

La protección de los datos personales es uno de los valores de Tarinas Real Estate & Investments y es un objetivo prioritario de la entidad que exige una serie de medidas jurídicas, técnicas y organizativas, que se resumen en esta Política y se detallan en sus normas y procedimientos propios.

Objetivos de la Protección de Datos

Los objetivos de Tarinas Real Estate & Investments en materia de protección de datos están alineados con los de negocio, dando prioridad al cumplimiento de las obligaciones legales que sean aplicables a la actividad desarrollada.

La protección de dados se considera una ventaja competitiva, ya que permite diferenciar a Tarinas Real Estate & Investments de sus competidores que no respeten la privacidad de su clientes y colaboradores o que traten inadecuadamente sus datos, asumiendo el riesgo de importantes sanciones económicas con gran impacto reputacional.

Se considerará un objetivo prioritario de la protección de datos el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

En todos los niveles de Tarinas Real Estate & Investments existirá el compromiso de cumplir los objetivos fijados en materia de protección de datos y los principios y obligaciones establecidos en esta Política.

Tarinas Real Estate & Investments podrá elaborar normas y procedimientos que desarrollen, concreten y detallen de la presente política.

Principios de la Protección de Datos

La estrategia de Tarinas Real Estate & Investments en materia de protección de datos cumplirá los principios que se describen a continuación:

  • Principio de licitud: el tratamiento de datos personales será lícito si se basa en el consentimiento del interesado o en alguna otra base de legitimación establecida en la Ley.
  • Principio de transparencia: el interesado deberá ser informado de todas las circunstancias relativas al tratamiento.
  • Principio de lealtad: los datos personales no podrán ser tratados en circunstancias distintas de las informadas.
  • Principio de limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
  • Principio de minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Este principio y el anterior se desarrollan en los principios de necesidad y proporcionalidad que se aplican a las evaluaciones de impacto.
  • Principio de exactitud: los datos personales deberán ser exactos y, si fuera necesario, actualizados, adoptándose todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  • Principio de limitación del plazo de conservación: los datos personales deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
  • Principio de integridad y confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Los datos personales sólo serán accesibles para las personas usuarias autorizadas a acceder a ellos y no podrán ser comunicados a terceros sin la correspondiente autorización.
  • Principio de responsabilidad proactiva: la Empresa será responsable del cumplimiento de lo dispuesto en la normativa de protección de datos, y deberá ser capaz de demostrar dicho cumplimiento.
  • Protección de datos desde el diseño y por defecto: en los nuevos tratamientos, proyectos, servicios y productos se hará una evaluación previa de su impacto en materia de protección de datos.

Roles y responsabilidades

Todos los roles y responsabilidades estarán diferenciados y, en la medida de lo posible, serán asignados de manera individualizada en la descripción del puesto de trabajo. Además de esta asignación individualizada, todas las personas que pertenezcan a Tarinas Real Estate & Investments, fuera cual fuera su nivel, estarán obligadas a cumplir las normas, procedimientos y controles establecidos en materia de seguridad de la información.

La máxima responsabilidad del control en materia de protección de datos corresponderá a Dirección.

Tarinas Real Estate & Investments dispone de normas y procedimientos donde se establecen las obligaciones del personal en materia de protección de datos.

Tarinas Real Estate & Investments adoptará las medidas necesarias para que el personal conozca de manera comprensible las obligaciones en materia de protección de datos que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento.

Registro de Actividades del Tratamiento

Tarinas Real Estate & Investments dispondrá de un registro de tratamientos en el constarán los detalles de los tratamientos autorizados como Responsable del Tratamiento; así como otro registro de los tratamientos realizados como Encargado del Tratamiento.

De acuerdo con el principio de privacidad desde el diseño y por defecto, y dada la imposibilidad de que los órganos de control conozcan todas y cada una de las actividades relacionadas con datos personales que se llevan a cabo en cada departamento, cada nuevo tratamiento o cada tratamiento que modifique los atributos y características asignados al mismo en el registro de tratamientos, deberá ser comunicado al Comité de Protección de Datos con el fin de que lo evalúe y lo autorice en el caso de que no suponga un riesgo para los derechos y libertades de los interesados.

Asimismo, Tarinas Real Estate & Investments informará del tratamiento de los datos personales a todos los interesados a través de las cláusulas informativas y de consentimiento de conformidad con el art. 13 y 14 RGPD.

Análisis de riesgos

Todos los tratamientos sujetos a esta Política de Seguridad deberán pasar por un análisis de riesgo, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá periódicamente.

Tarinas Real Estate & Investments realizará periódicamente un análisis de los riesgos y amenazas que afecten a la protección de datos.

El análisis de riesgos se hará a través de un mapa de riesgos inherentes, en el que se evalúen los riesgos brutos existentes antes de la aplicación de los controles de prevención, detección y mitigación, tras lo cual se hará un mapa de riesgos residuales, en el que se evalúen de forma automatizada los riesgos netos existentes después de la aplicación de los controles.

Pautas para minimizar los riesgos

Para la gestión y minimización de riesgos Tarinas Real Estate & Investments aplicará medidas de seguridad físicas, en el personal, administrativa y en la red tales como:

  • Seguridad de acceso lógico: la Empresa aplica medidas de seguridad para la protección de los accesos lógicos.
  • Acceso lógico de las personas a los sistemas informáticos: La entidad aplicará un sistema de doble factor de autenticación. Por un lado, la persona usuaria será asignada por el Administrador del Sistema y será la propia persona usuaria quien asignará su propia contraseña Por otro lado, la persona usuaria recibirá un código para validar dicha autenticación.

La contraseña siempre será ininteligible incluso para el Administrador. En caso necesario (p.e., que el usuario la haya olvidado), el Administrador del Sistema podrá forzar un proceso de cambio de contraseña por parte de la persona usuaria sin necesidad de la anterior.

  • Control de acceso a datos y recursos: La entidad elaborará las normas y procedimientos que desarrollen, concreten y detallen las medidas de control indicadas en este apartado
  • Sistemas operativos: Todos los Sistemas Operativos utilizados en los sistemas informáticos de la Empresa precisan de una validación y autenticación para su acceso y utilización.
  • Virus y malware: Todos los ordenadores de la Empresa tendrán instalado un software antivirus y antimalware que se actualizará de forma periódica. También se dispondrá de firewalls que controlen el tráfico de red y que cuenten con detección de intrusiones no autorizadas.

Las personas usuarias serán informadas puntualmente de las medidas básicas a tomar a fin de prevenir la entrada de virus y malware.

  • Gestión de las personas usuarias: Se deberá actualizar la relación de todas las personas usuarias de la Red que tienen acceso autorizado al Sistema de información, con la delimitación de sus niveles de acceso de forma tal que garantice su confidencialidad e integridad. Asimismo, la Empresa realizará controles de acceso y monitorización de los sistemas informáticos puestos a disposición de los trabajadores a fin de proteger la información.
  • Limitación de acceso: Para acceder a los recursos informáticos es necesario tener asignada previamente una cuenta de la persona usuaria y estar dado de alta en los servidores de dominio. La autorización del acceso establecerá el perfil necesario con el que se configuren las funcionalidades y privilegios disponibles en las aplicaciones según las competencias de cada persona usuaria, adoptando una política de asignación de privilegios mínimos necesarios para la realización de las funciones encomendadas. Asimismo, se utiliza el factor de doble autentificación para el acceso a los servidores de dominio.
  • Seguridad wi-fi y redes inalámbricas: la Empresa aplicará las medidas adecuadas para proteger el acceso indebido a la wi-fi de la entidad.
  • Servidores y soportes físicos: Toda la información confidencial, así como los datos de carácter personal se almacenan en servidores de proveedores externos que ofrecen un nivel adecuado de cumplimiento a lo que concierne a la protección de datos y de la seguridad de la información.
  • Copias de seguridad: Todas las copias de seguridad realizar por terceros abarcan toda la información necesaria para recuperar el servicio en caso de corrupción o pérdida de la información (datos, programas, ficheros de configuración e, incluso, la imagen de algunos servidores). Asimismo, disponen los protocolos relativos a las copias de seguridad y recuperación de datos.

Para todos los sistemas relevantes se definirán los estándares de seguridad, que incluirán, al menos, la siguiente información: periodicidad de las copias de seguridad, periodos de retención de las copias, ubicación de los soportes de seguridad, procedimientos de recuperación de la información procedimientos de restauración y verificación de la integridad de la información respaldada.

  • Autenticación: Los códigos de las personas usuarias y contraseñas son personales e intransferibles, siendo la persona usuaria la única responsable de las consecuencias que puedan derivarse del mal uso, divulgación o pérdida de los mismos.
  • Seguridad en el puesto de trabajo: Se informará a los trabadores de las normas establecidas por la Empresa que se deban aplicar en relación con la seguridad en el puesto de trabajo, entre las cuales se destacan el bloqueo automático de dispositivos que requiera activación a través de contraseña tras ciertos minutos de inactividad, así como la aplicación de una política de papel cero en las mesas de trabajo.
  • Dispositivos móviles: Tarinas Real Estate & Investments establecerá las oportunas medidas de seguridad en los dispositivos móviles corporativos.

Aquellas personas usuarias que tuvieran asignados dispositivos móviles corporativos deberán cumplir las normas de uso específicas, y aplicar las correspondientes medidas de seguridad.

Obligaciones contractuales

Además de las exigencias legales en materia de protección de datos, Tarinas Real Estate & Investments estará obligada también a cumplir los requisitos específicos de protección de datos que le exijan sus clientes y proveedores en relación a los datos de carácter personal a lo que accedan en virtud de sus relaciones contractuales con ellos.

Tarinas Real Estate & Investments prestará especial atención a las obligaciones contractuales de las que se deriven tratamiento de datos personales.

Tarinas Real Estate & Investments elaborará y mantendrá actualizado un registro en el que identificará y priorizará las obligaciones relacionadas con la protección de los datos personales a los que acceda o trate.

Tarinas Real Estate & Investments comprobará periódicamente que las obligaciones contractuales asumidas en materia de protección de datos sean conocidas en todos los niveles de la entidad.

 

Control de Proveedores desde el punto de vista de privacidad

Tarinas Real Estate & Investments elaborará un registro de todos los proveedores que traten datos personales por cuenta de la entidad o tengan acceso directo a datos personales gestionados por la entidad.

En el caso de que fuera necesario contratar un nuevo servicio que exigiera tratamiento de datos, Tarinas Real Estate & Investments efectuará una selección de proveedores y un proceso de evaluación teniendo en cuenta las garantías exigidas en la Ley en materia de protección de datos.

En esta evaluación se dará prioridad a los proveedores que ofrezcan mayores garantías en materia de protección de datos.

La relación con los proveedores que traten o que tengan acceso directo o indirecto a datos personales estará regulada siempre en un contrato que incluirá una sección específica sobre las obligaciones que deberá cumplir el proveedor. Estas obligaciones incluirán, como mínimo, las establecidas en el artículo 28 del RGPD.

Plazos de conservación de datos

Tarinas Real Estate & Investments conservará los datos personales de tal forma que se permita la identificación de los interesados solamente durante el tiempo necesario para los fines del tratamiento de dichos datos. Por ello, la Empresa elaborará y mantendrá actualizada una tabla en la que establecerá el plazo de conservación de los datos que deba o que considere conveniente conservar.

En la elaboración de esta tabla se tendrán en cuenta los plazos de prescripción de las infracciones y las limitaciones que establece el RGPD y Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. También se tendrá en cuenta las obligaciones legales, sectoriales y contractuales que puedan exigir plazos superiores de conservación.

Tarinas Real Estate & Investments deberá tener en cuenta también los plazos indicados a los interesados en el momento de informarles de sus derechos.

En relación a la destrucción de la documentación, se deberá realizar de forma que se garantice la confidencialidad durante todo su proceso.

Gestión de las brechas e incidencias de seguridad

Cualquier situación que pueda comprometer la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información de la Empresa se considerará una brecha de seguridad.

Por ello, la empresa deberá establecer las medidas oportunas en materia de ciberseguridad, que incluirán la protección frente a amenazas que provengan de las redes de comunicaciones, tales como los ciberataques, los ataques de denegación de servicios, los accesos no autorizados y el secuestro de sistemas o ransomware, entre otros.

Cualquier persona que tuviera conocimiento o sospecha de algún incidente que pudiera afectar a la protección de los datos deberá comunicarlo inmediatamente a través de los canales establecidos para ello.

En el supuesto que la brecha o el incidente de seguridad pudieran suponer un riesgo para los derechos y libertades para las personas físicas, se deberá notificar, a más tardar 72 horas después de que hubiera constancia de ella, a la Autoridad de Control competente, esto es, la Agencia Española de Protección de Datos.

Tarinas Real Estate & Investments dispone de un protocolo en el cual se define la sistemática seguida por la entidad para la notificación y la gestión de incidentes y vulnerabilidades de seguridad con el propósito de asegurar que los incidentes de seguridad y las debilidades asociadas con los sistemas de información se registren y se traten convenientemente, mediante las oportunas actividades de reparación y resolución, y de la restauración de los niveles normales de funcionamiento de los servicios afectados, pudiendo adoptar acciones correctoras para eliminar sus causas y prevenirlos en un futuro.

Formación y concienciación

Todo el personal de Tarinas Real Estate & Investments tiene la obligación de conocer y cumplir la Política de Protección de Datos. Por ello, la Empresa promoverá una actividad constante de formación y concienciación en todos los niveles de la empresa en materia de protección de datos.

La formación podrá basarse en sesiones presenciales o en cursos de e-Learning.

La concienciación podrá basarse en cualquier tipo de materiales e instrumentos de comunicación y formación que permitan concienciar sobre los riesgos de infracción a todos los niveles de la empresa.

Cada trabajador será responsable de cumplir con esta política y los protocolos que se deriven según su puesto de trabajo, así como de notificar las incidencias de seguridad que se detecten.

Prevención de infracciones

El principal objetivo de la Empresa con esta Política y sus normas, procedimientos y controles que la desarrollan, es prevenir infracciones de los derechos y libertades de los interesados y cumplir con la normativa de protección de datos de carácter personal.

El principal marco de referencia que se tendrá en cuenta para cumplir este objetivo será el RGPD, que establece dos grupos de infracciones: las graves y las muy graves.

A las infracciones graves se podrán aplicar sanciones de hasta 10 millones de Euros o el 2% de la cifra de negocio anual global de la Empresa. En este grupo se incluirían, por ejemplo, medidas técnicas u organizativas inadecuadas, contratación de encargados de tratamiento sin garantías suficientes, falta de notificación de una violación de datos, etc. A las infracciones muy graves se podrán aplicar sanciones de hasta 20 millones de Euros o el 4% de la cifra de negocio anual global de la Empresa. En esta categoría se incluirían los casos de tratamiento ilícito, consentimiento ilícito, vulneración del deber de confidencialidad, etc.

Actualización y mejora de esta Política

Esta Política será actualizada periódicamente con el fin de reflejar los cambios y mejoras en materia de protección de datos. Tarinas Real Estate & Investments realizará una verificación periódica de la aplicación de las medidas de prevención y control, y propondrá las oportunas modificaciones que se requieran en caso de detectar infracciones relevantes de esta política, cambios significativos, o cambios en los sistemas de información de la entidad.