Condiciones Generales sobre Protección de Datos

ÁMBITO DE APLICACIÓN DE ESTAS CONDICIONES GENERALES

Las presentes condiciones generales se aplican a la prestación de todo tipo de servicios que FEDERACION VIZCAINA DE EMPRESAS DEL METAL, en adelante FVEM, acuerde con sus asociados, haciéndose constar así en los distintos documentos o anexos que se suscriban con las condiciones particulares aplicables para cada servicio.

Se establece como domicilio de la entidad el siguiente a efectos de cualquier tipo de comunicación:

                       FEDERACION VIZCAINA DE EMPRESAS DEL METAL
                       Plaza de Euskadi, 9
                       48009 Bilbao (Bizkaia)

 

1. PROTECCION DE DATOS DE CARÁCTER PERSONAL

FVEM tratará en la medida en la que la prestación del servicio lo haga imprescindible, datos personales de los que es responsable la empresa asociada.

La empresa asociada, como responsable de los ficheros o tratamientos, autoriza a FVEM a tratar por su cuenta los datos de carácter personal contenidos en sus ficheros en la medida que ello resulte necesario para cumplir con los servicios que le presta por su condición de empresa asociada.

Estas condiciones generales, mencionadas en las condiciones particulares y aceptadas por la empresa asociada se establecen para dar cumplimiento a lo previsto en el artículo 33 de la Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales y en el 28 del Reglamento UE 2016/679 delimitando las obligaciones del responsable y del encargado de tratamiento.

Los datos personales podrán ser cedidos a empresas colaboradoras de FVEM, con las que se mantienen acuerdos y convenios preferenciales, para que sea informado y pueda beneficiarse de los mismos. También podrán ser cedidos a otros organismos públicos o privados con el fin de justificar las ayudas económicas que conceden. La legitimación para el tratamiento es el consentimiento del interesado, o en su defecto, su representante legal, manifestado de forma inequívoca mediante la cumplimentación y envío de un formulario. Los datos se conservarán por tiempo indefinido en tanto no manifieste su voluntad en contra.

 

2. IDENTIFICACION DE LA INFORMACION AFECTADA

Para la ejecución de los servicios que FVEM presta a sus asociados la empresa responsable del tratamiento puede poner a disposición de FVEM, encargada del tratamiento, información de datos personales con las siguientes finalidades:

  • La gestión contable, fiscal y administrativa
  • El mantenimiento de la relación asociativa y el ofrecimiento de otros productos o servicios
  • La gestión y realización de acciones formativas
  • La gestión y control de asistencia a jornadas
  • La participación en procesos de selección de personal
  • La gestión de servicios de asesoramiento y la respuesta a consultas y sugerencias
  • El envío de comunicaciones relativas a las actividades de FVEM
  • La gestión de contactos para acciones de comunicación comercial

 

3. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde a la empresa asociada como responsable del tratamiento:

A) Facilitar al encargado el acceso a los datos que forman parte de sus ficheros o entregárselos del modo que resulte oportuno para la correcta prestación del servicio.

B) Informar conforme a la normativa a los interesados cuyos datos sean objeto de tratamiento y haber obtenido de los mismos lícitamente su consentimiento expreso o contar con motivos legítimos y acreditables para el mismo.

C) Tener establecida la base legal que legitima el tratamiento.

D) Disponer de mecanismos sencillos para que los interesados puedan ejercitar sus derechos.

E) Contar con evaluaciones de riesgo, con un registro de los tratamientos y evaluaciones de impacto si fuera necesario por la naturaleza de los datos tratados.

F) Tener habilitadas las medidas de seguridad adecuadas para salvaguardar los datos en la transmisión de los datos al encargado.

G) Nombrar un delegado de protección de datos en los casos que fuera obligatorio y comunicar su identidad al encargado.

 

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

FVEM se compromete a cumplir con lo dispuesto en la normativa europea y española de protección de datos y se obliga a:

4.1   INSTRUCCIONES USO Y COMUNICIACIÓN DE LOS DATOS.

  1. FVEM utilizará los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este anexo.
  2. FVEM se compromete a tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD, Ley 3/2018 de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembro, el encargado informará inmediatamente al responsable.
  3. FVEM se compromete a no copiar ni reproducir la información facilitada por el responsable del fichero salvo cuando sea necesario su tratamiento para las finalidades previstas en el objeto de este anexo.
  4. FVEM no comunicará los datos a terceras personas, salvo si cuenta con la autorización expresa del responsable del fichero, o en los casos previstos en la Ley. La cesión a terceros subcontratados se regula en otro apartado de este mismo documento.
  5. FVEM guardará por tiempo indefinido secreto sobre los datos personales objeto de tratamiento. Esta obligación persiste tras la finalización de la condición de asociado.

4.2 MEDIDAS DE SEGURIDAD.

FVEM ha adoptado las medidas de seguridad adecuadas para salvaguardar la integridad de los datos del responsable del tratamiento a los que tiene acceso por su condición de empresa asociada, y evitar su alteración, perdida y/o acceso no autorizado. Del mismo modo, las medidas adoptadas garantizan la confidencialidad, la integridad y disponibilidad de la información, así como la resiliencia permanente de los sistemas de tratamiento en caso de incidencia física o técnica.

Cualquier incidencia que afecte a los datos personales será comunicada de inmediato al responsable del fichero o tratamiento.

FVEM cuenta con un sistema que verifica, evalúa y revisa de manera continua las medidas de seguridad.

4.3 PERSONAL.

El número de personas que a través de FVEM trata los datos personales del responsable es limitado y conocido. Existe un listado actualizado de los trabajadores con acceso, que siempre son los imprescindibles para cumplir con el fin del objeto de este anexo.

Todo el personal de FVEM recibe formación periódica en materia de confidencialidad y protección de datos, conoce la normativa aplicable, sus obligaciones en la materia y las consecuencias del incumplimiento de la Ley.

4.4. REGISTRO DE ACTIVIDADES DE TRATAMIENTO.

FVEM lleva por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, y este contiene:

  1. El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
  3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de los mismos y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

 

5.- COMUNICACIÓN A OTROS ENCARGADOS DE TRATAMIENTO

FVEM puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con sus instrucciones. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si en el caso de que FVEM deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal derecho lo prohíba por razones importantes de interés público.

 

6.- SUBCONTRATACIÓN

Determinados servicios son prestados por empresas o entidades especializadas que no forman parte de FVEM, y que son seleccionadas por esta en base a criterios de experiencia profesional y garantía del tratamiento de la información. Existe información expresa relativa a los servicios concretos en la web de la entidad.

Está permitida la subcontratación de alguna de las prestaciones que forman parte del objeto de estas condiciones generales que comporten el tratamiento de datos personales. A solicitud del responsable del tratamiento se indicará que servicios concretos pueden ser subcontratados identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para FVEM como encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde a FVEM regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, FVEM como encargado inicial seguirá siendo plenamente responsable ante la empresa asociada.

 

7.- DERECHOS DE LOS INTERESADOS

FVEM se compromete a asistir al responsable de tratamiento en la respuesta al ejercicio de los derechos de:

  1. Acceso, rectificación, supresión y oposición
  2. Limitación del tratamiento
  3. Portabilidad de datos
  4. No ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante FVEM, éste debe comunicarlo por correo electrónico a la dirección habitual del responsable. La comunicación se hará de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, junto, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

 

8.- NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS

FVEM, como encargado del tratamiento, notificará al responsable del fichero o tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través de CORREO ELECTRONICO, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d)    Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del fichero o tratamiento será quien deba de realizar las comunicaciones a la Agencia de Protección de datos o a los interesados.

 

9.- COLABORACIÓN CON EL RESPONSABLE

FVEM se compromete a:

         a) Dar apoyo al responsable del fichero o tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

         b) Apoyar al responsable del fichero o tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

         c) Poner a disposición del responsable del fichero o tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

         d) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable. Esta obligación solo existirá en los casos establecidos en la normativa.

 

10.-FINALIZACION DE LA RELACIÓN

Una vez finalizada la relación de FVEM con la empresa asociada, FVEM a elección del responsable del fichero o tratamiento, procederá a:

  • Devolver al responsable del fichero o tratamiento los datos de carácter personal y, si procede, los soportes donde estos consten. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
  • Destruir los datos. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del fichero o tratamiento.

No obstante, el encargado puede conservar una copia con los datos del responsable del tratamiento, debidamente bloqueados, mientras puedan derivarse responsabilidades por su condición de empresa asociada.

 Estas condiciones generales han sido actualizadas a 11 de marzo de 2019.