Política de protecció de dades

1.- La política de protecció de dades

El text següent és una proposta que s’ha d’adaptar a cada responsable del tractament, en funció dels tractaments que duu a terme.

Per tant, aquells tractaments que no es duen a terme poden ser eliminats de la política i aquells que si es realitzen s´han de mantenir.

Aquesta política s’ha de coordinar amb els tractaments inclosos en el Registre d’Activitats de Tractament (RAT).

Les dades del delegat de protecció de dades només s’han d’incloure en els casos en què l’empresa estigui obligada a designar un delegat de protecció de dades, en els termes de la Llei 3/2018 (article 34):

https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

Aquesta política regula el tractament de les dades personals del responsable del tractament, per la qual cosa s’ha de publicar al lloc web de la mateixa (pàgina principal), creant un enllaç específic amb el nom de “política de protecció de dades” incloent dins d’ella tot el text del mateix, havent emplenat prèviament tots els camps.

L’enllaç al text de la política de protecció de dades s´inclourà:

a.- Sempre a la pàgina principal del lloc web a través d’un enllaç, que ha de ser accessible des de la resta de pàgines del lloc web, ja que la normativa exigeix que el text sigui accessible per mitjans electrònics, de forma permanent, fàcil, directa i gratuïta.

b.- Els formularis electrònics han d’incloure aquesta menció o similar, que l’usuari ha d’acceptar amb un clic:

__ He llegit i accepto la política de protecció de dades (enllaç a la política de protecció de dades del lloc web).

2.- La finalitat principal

Cada tractament descrit a continuació (clients, proveïdors, treballadors, etc. ) incorpora una clàusula d’informació en color verd que es obligatori que consti sempre en tots els documents a través dels quals es capturen dades personals, ja sigui el text tipus complet de la mateixa o un enllaç a la política de protecció de dades.

Els articles 13 i 14 del Reglament 2016/679 (RGPD) regulen aquest deure d’informació, que estableix que quan obtenen les dades personals d’un interessat, el responsable del tractament en el moment en què s’obtinguin, li facilitarà tota la informació indicada en la clàusula.

Aquest son exemples de documents on s’ha d’incorporar la clàusula d’informació:

a.- contractes,

b.- pressupostos,

c.- ordres de treball,

d.- albarans,

e.- factures,

f.- formularis,

g.- l’avís legal o la política de protecció de dades..

h.- etc.

D’aquesta manera, en tots els documents del responsable del tractament a través dels quals es capten les dades personals, és obligatori incloure la clàusula d’informació marcada en verd, per exemple:

a.- en el contracte d´alta o de venda a un client, la clàusula a incloure és la que consta en el tractament del client.

b.- en el contracte d’alta o compra a un proveïdor, la clàusula a incloure és la que consta en el tractament del proveïdor.

c.- i el mateix per a la resta de tractaments.

Es recomana no modificar el text de la clàusula, llevat que prèviament es consulti amb assessoria jurídica i aquesta ho autoritzi expressament.

Si el text proposat no es pot incloure (per a una qüestió d’espai), s´ha d’incloure en el document l’enllaç a la pàgina web de l’empresa on conté aquesta política.

3.- La videovigilància empresarial dels treballadors

La clàusula de videovigilància incorpora la possibilitat de controlar el compliment de les obligacions i deures del treballador, per la qual cosa el responsable haurà de decidir si ha de mantenir aquesta finalitat o be eliminar-la.

En qualsevol cas, aquesta finalitat s’ha d’incloure en la RAT i els treballadors i la representació sindical han de ser informats per qualsevol mitjà que garanteixi la recepció de la informació.

En aquest enllaç s’explica com procedir:

https://www.aepd.es/sites/default/files/2019-09/ficha-videovigilancia-control-empresarial.pdf

4.- La finalitat secundària (tractaments amb finalitat publicitària)

4.1.- Introducció

A diferència de la finalitat principal (color verd),que sempre s’ha d’incloure en qualsevol document, en canvi els tractaments amb finalitat publicitària (color groc), només s’ha d’incloure quan les empreses vulguin tractar les dades personals amb finalitats publicitàries.

Algunes empreses no inclouen aquests tractaments en els seus documents i altres si, depenent de la seva política publicitària.

Aquests tractaments estan regulats en la normativa de protecció de dades i també en la Llei 34/2002 (lssice), concretament en els articles 19 a 22:

https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758

Aquests tractaments publicitaris són diferents del tractament principal i, per tant abans de tractar dades personals amb finalitats publicitàries, el responsable del tractament ha de comprovar si hi ha alguna de les bases legals de les que regula l’article 6 del Reglament 2016/679 (RGPD).

Si no es reuneix almenys una de les circumstàncies recollides en aquest article, les dades personals no es poden tractar amb finalitats publicitàries, ja que fer-ho constitueix una infracció de les normes de protecció de dades amb el risc d´imposició d’una sanció econòmica.

En el context del tractament publicitari, hem d’analitzar les bases legals que figuren a l’article 6 de l’RGPD, de manera que com hem indicat, si no concorre cap d’elles, aleshores no és possible el tractament de dades amb finalitats publicitàries.

Són bases legals per a l’enviament de publicitat, les següents:

a) La relació contractual (si hi ha un contracte entre l’empresa i el destinatari de la publicitat).

b) el consentiment previ i inequívoc del destinatari (que el destinatari hagi donat el seu consentiment per escrit).

c) l’existència d’un interès legítim de l’empresa (l’empresa decideix enviar publicitat, després de realitzar una anàlisi prèvia).

4.2.- Trucades telefòniques publicitàries

Les trucades telefòniques publicitàries estan regulades a l’article 84.3 de la Llei 9/2014, de 9 de maig, general de telecomunicacions.

Pel que fa a les trucades publicitàries, en general, si una persona no vol rebre trucades comercials o publicitàries de caràcter promocional s’ha d’adreçar amb antelació, a la persona natural o jurídica, sigui o no client de la mateixa, identificant-se com a titular de la línia telefònica en la qual no vol rebre més trucades comercials de tal manera que una vegada manifestada aquesta oposició, les seves dades personals no podran ser utilitzades a aquesta finalitat publicitària.

4.3.- Les comunicacions comercials per via electrònica

L´enviament de comunicacions comercials per mitjans electrònics (correus electrònics, sms, etc.) es regeix per l’article 21 de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic, apartat 1, que diu:

“Queda prohibit l’enviament de comunicacions publicitàries o promocionals per correu electrònic o altres mitjans de comunicació electrònics equivalents, que no hagin estat prèviament sol·licitats o autoritzats expressament pels destinataris de les mateixes”.

a.- El principi general: la prohibició d’enviar comunicacions comercials

La llei estableix com un principi general que no podem enviar publicitat.

b.- L’excepció: la relació contractual prèvia

No obstant això aquesta regla general – la prohibició – està exceptuada en cas que hi hagués una relació contractual prèvia entre ambdues parts (la empresa i el destinatari de la publicitat) i:

” … sempre que el prestador hagi obtingut legalment les dades de contacte del destinatari i les utilitzi per a l’enviament de comunicacions comercials sobre productes o serveis de la seva pròpia empresa que siguin similars als contractats inicialment amb el client, tal com s’estableix en el primer apartat del paràgraf 2 de la prestació …”.

Els aquest informe de l’AGPD s´inclouen exemples:

https://www.aepd.es/es/documento/2018-0173.pdf

També es interessant analitzar aquesta resolució de Ryanair:

https://www.aepd.es/es/documento/e-01423-2020.pdf

D’aquesta manera, qualsevol enviament de comunicacions publicitàries o promocionals per correu electrònic o altres mitjans de comunicació electrònica equivalents és possible, si concorren i es compleixen tots i cadascun d’aquests requisits:

1.- Hi ha una relació contractual vigent entre l’empresa i el destinatari (aquest és un client de l’empresa, per exemple).

El destinatari ha de ser client de l’empresa, de manera que si el destinatari ja hagués finalitzat la relació contractual amb l’empresa, l’enviament de publicitat no seria possible i requeriria el consentiment exprés del destinatari.

2.- La publicitat ha de ser de productes i/o serveis del remitent, no de tercers.

L’enviament de publicitat sota aquesta modalitat, només empara l’enviament de publicitat sobre els productes i serveis de l’empresa amb la qual el client ha contractat, però no es permet la publicitat sobre els productes i serveis de terceres empreses.

Per tant, si una empresa vol enviar comunicacions comercials sobre productes i serveis d’altres empreses del grup o de terceres empreses, haurà de sol·licitar prèviament i obtenir el consentiment exprés (opt-in) dels clients.

3.- La publicitat ha de promocionar només productes i serveis similars als ja contractats.

El terme “similar” ha estat interpretat restrictivament per l’AEPD.

A nivell d’exemple, l’AEPD va afirmar que si un client hagués contractat productes financers, no tindria “una expectativa raonable” que les ofertes d’assegurances siguin “similars” als productes financers que ja havia contractat.

Per tant, si una empresa volia enviar publicitat d’assegurances a un client que hagi contractat altres tipus de productes financers, ha de demanar i obtenir el seu consentiment exprés.

4.- En aquest cas no és necessari comprovar amb antelació si aquests usuaris estan inclosos en els fitxers d’exclusió publicitària comuns (les anomenades “llistes Robinson”) ja que el destinatari és client de l’empresa.

El web de les llistes robinson: https://www.listarobinson.es/

5.- Sempre que el destinatari no hagi expressat la seva voluntat en contra, és a dir, si el client ha manifestat que no desitja rebre publicitat, aleshores no se li pot enviar publicitat.

6.- A més, les empreses han d’informar sobre l’existència d’aquests fitxers d’exclusió publicitària (llistes robinson) quan un interessat expressi el seu desig que les seves dades no es tractin per a l’enviament de comunicacions comercials (art. 23.3 del reglament 2016/679).

c.- Consentiment exprés

Si no es compleixen tots els requisits dels punts anteriors i l’empresa no obstant això vol enviar publicitat (d’altres productes o serveis als seus o be d’altres empreses), és imprescindible que el responsable del tractament -l’empresa-, sol·liciti prèviament i obtingui per escrit, el consentiment exprés del destinatari -la persona que rebrà la publicitat-.

És a dir, aquest supòsit es aplicable a aquells casos en què es pretén ampliar la publicitat:

a.- a altres sectors (per exemple, l’empresa es dedica a l’activitat immobiliària, però ara vol enviar publicitat del sector bancari).

b.- d’altres empreses (del seu grup d’empreses o de terceres empreses alienes).

En tots aquests casos és imprescindible sol·licitar i obtenir el consentiment exprés i per escrit del destinatari, que haurà de marcar una casella en un formulari on se li demani el consentiment (no és possible enviar una comunicació prèvia demanant consentiment per ampliar la finalitat del tractament).

Per tant no hi ha consentiment (i no es pot enviar publicitat), si el destinatari:

1.- no dóna consentiment exprés marcant la casella,

2.- no marca la casella,

3.- o simplement guarda silenci i no es manifesta.

El consentiment prestat és sempre revocable i per tant no és definitiva en cap cas.

El consentiment finalitza quan el client el revoca (sol·licita la baixa o demana que no li enviem mes publicitat), ja que en qualsevol moment pot donar-se de baixa, supòsit en què el responsable ha de finalitzar l´enviament i abstenir-se d’enviar mes comunicacions comercials en el futur.

A continuació us proposem un exemple d’una clàusula que s’ha d´incloure en els documents indicats (contractes, pressupostos, factures, formularis, web, etc.), que ha de constar per separat i de manera diferenciada de la finalitat principal (per exemple, per sota de la finalitat principal), de tal manera que l’usuari pugui donar o no, el consentiment per rebre publicitat marcant amb una x en l’espai indicat.

d.- Clàusula informació per a l’enviament de comunicacions comercials amb consentiment exprés

Les dades seran tractades amb finalitat publicitària per enviar-li publicitat per qualsevol mitjà, incloent el correu electrònic, sms, ems, mms, fax o equivalents, dels productes i serveis del responsable o de tercers (enllaç identificant els tercers) amb els quals hem arribat a un acord promocional, publicitat relacionada amb (incloure aquí el sector de l’activitat del responsable i per tant del tipus de publicitat a enviar, per exemple, maquinària, assegurança, formació, immobiliari, etc.). Si desitja que les seves dades personals siguin tractades amb finalitats publicitàries, doneu el vostre consentiment exprés marcant aquí: ___

La legislació també exigeix que a cada comunicació publicitària rebuda pel destinatari, aquest pugui sol·licitar la baixa de forma senzilla i gratuïta. Per tant, al final de cada missatge publicitari enviat per l’empresa al destinatari, s’ha d’incloure un text com aquest:

Rep aquesta comunicació ja que esta donat d´alta a la base de dades de (……….). Pot donar-se de baixa enviant un correu electrònic a (………..) amb la paraula “baixa” o fent clic en aquest enllaç (……….). El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

e.- Interès legítim

Si no tenim una relació contractual entre l’empresa i el destinatari, o de manera subsidiària, no tenim el consentiment del destinatari, en aquest cas hi ha un últim supòsit en que el responsable pot tractar dades personals amb finalitats publicitàries que es coneix com l’interès legítim del responsable i que seria aplicable en tercer lloc i quan els dos anteriors supòsits no sigui possibles d’aplicar-los.

L’interès legítim d’un responsable pot constituir una base legal per al tractament, sempre que -com assenyala el RGPD – no prevalguin els interessos o drets i llibertats de l’interessat, tenint en compte les expectatives raonables dels interessats basades en la seva relació amb el responsable.

Per tant, abans d’acudir a aquesta via, s´han de ponderar prèviament tots els interessos concurrents, en particular, els interessos i drets fonamentals de l’interessat que poden prevaler sobre els interessos del responsable del tractament, quan es procedeixi al tractament de les dades personals en circumstàncies en les què l’interessat no esperi raonablement que es realitzi un tractament posterior.

Per tant, abans d´acudir a aquesta causa de legitimació, s´ha d´avaluar prèviament pel responsable.

A mes a mes, la normativa exigeix el compliment d´altres requisits si s´opta per aquesta via:

a.- oferir un dret d’oposició -opt out- a la recepció de publicitat en el moment de la recollida de les dades i en cada comunicació comercial que es fa posteriorment,

b.- la prèvia comprovació per part del responsable abans d’enviar publicitat, sobre si aquest destinatari al que se li vol enviar publicitat, consta en els fitxers comuns d’exclusió publicitària (les anomenades “llistes Robinson”): https://www.listarobinson.es/

Si la resposta es positiva, es a dir si les seves dades personals consten en la llista robinson, això significa que el responsable no podrà enviar-li publicitat.

4.4.- El perfilat o la creació de perfils (profiling)

Altres tractaments comuns amb finalitats publicitàries, a més de l’enviament de comunicacions comercials per mitjans electrònics (correus electrònics, sms, etc.) o les trucades telefòniques, són els perfilats o la creació de perfils (profiling), a través d’eines com el big data.

Aquests tractaments permeten analitzar el comportament dels usuaris, procedir a l’elaboració de perfils i posteriorment, enviar-los comunicacions comercials adaptades als seus gustos o preferències.

Un exemple d’aquests tractaments és realitzar models i procediments de valoració o scoring o obtenir una puntuació orientativa de les probabilitats de complir les obligacions de pagament per part d’un client.

El RGPD defineix perfils en l’article 4.4 com:

” … qualsevol forma de tractament automatitzat de dades personals consistent en l’ús de dades personals per avaluar determinats aspectes personals d’una persona física, en particular per analitzar o predir aspectes relacionats amb el rendiment professional, situació econòmica, salut, preferències personals, interessos, fiabilitat, comportament, localització o moviments d’aquesta persona física … “.

Té molt interès en aquesta matèria les directrius sobre decisions individuals automatitzades i elaboració de perfils al efectes del Reglament 2016/679,que és un document de lectura obligatori abans de prendre una decisió sobre el perfilat o la creació de perfils:

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

Segons aquesta definició, el perfilat és una categoria de tractament de dades que es produeix si es compleixen aquests requisits:

a.- que el tractament de les dades es duu a terme de manera automatitzada,

b.- es realitza sobre dades personals,

c.- que aquest tractament pretén avaluar una persona física o un grup d’individus per descobrir patrons de comportament.

El perfilat consisteix en la creació de “noves” dades personals que no han estat proporcionades directament pels mateixos interessats, amb la finalitat de fer prediccions o deduccions estadístiques sobre la capacitat de la persona per dur a terme una tasca, els seus interessos o el seu comportament futur, sent les etapes de perfilat són les següents:

1.- Recollir dades,

2.- Analitzar dades,

3.- crear un perfil per a una persona,

4.- aplicar un perfil per prendre una decisió que afecti a una persona.

La normativa de protecció de dades imposa garanties addicionals i específiques per al perfilat, que s’han de complir obligatòriament per evitar incompliments de la normativa de protecció de dades i que són les següents:

a.- El perfilat és un tractament

Com qualsevol altre tractament de dades personals, l’empresa ha de complir amb els principis requerits de la normativa aplicable en matèria de protecció de dades de caràcter personal, en particular el RGPD.

En aquest sentit ha de complir amb els principis de legalitat, lleialtat i transparència (Art. 5.1a GDPR); limitació de la finalitat (article 5.1.b RGPD); minimització de dades (Art. 5.1.c GDPR); exactitud (Art. 5.1.d GDPR) i la limitació del període de conservació (Art. 5.1.e GDPR).

b.- Informar del perfilat

El primer punt es informar a la persona física, al perfilat.

L’article 13 del RGPD, relatiu al principi d’informació, requereix en l´apartat 2 lletra f), que el responsable del tractament informe sobre l’existència de decisions automatitzades, incloent la elaboració de perfils, a què es refereix l’article 22 apartats 1 i 4, i almenys en aquests casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a l’interessat.

Així, a més dels requisits generals, quan el responsable del tractament porti a terme el tractament de les dades segons el que preveu l’article 22, el responsable del tractament ha de proporcionar informació significativa sobre la lògica aplicada, per exemple:

a.- les categories de dades que s’han utilitzat o seran utilitzades en perfils o en el procés de presa de decisions;

b.- per què aquestes categories es consideren pertinents;

c.- com s´elaboren els perfils utilitzats en el procés de decisions automatitzades, incloent-hi les estadístiques utilitzades en l’anàlisi;

d.- per què aquest perfil és rellevant per al procés automatitzat de presa de decisions;

e.- Com s’utilitza per a prendre una decisió sobre l’interessat.

Així mateix, l’article 14.2.g del RGPD inclou la mateixa referència quan les dades personals no s’han obtingut de l’interessat.

En qualsevol cas, es tracta que el tractament de les dades personals sigui transparent, tal com es disposa a l’article 12 del RGPD.

La informació s’ha de proporcionar d’una manera clara i senzilla.

Si no existeix perfils, es a dir sinó se tracten les dades amb finalitat de perfilat, també s’ha d’informar al destinatari.

c.- Comprovar si hi ha una base legal.

Un altre requisit es comprovar si existeix una base jurídica que permeti el perfilat.

Les bases legals per a la realització del tractament de dades estan taxades en l’article 6 del RGPD (existència d’una obligació legal, consentiment del client, interès legítim de l’empresa, etc.).

Com s’ha indicat anteriorment, si no es compleix una de les circumstàncies establertes en aquest article, no es podran tractar les dades personals amb finalitat de perfilat.

En el context del perfilat amb finalitats de màrqueting, les dues bases legals (de les que figuren a l’article 6 de l’RGPD) que, com a norma general, podrien aplicar-se són:

a.- Consentiment

El consentiment explícit és una de les excepcions a la prohibició de decisions automatitzades o perfils definits en l’article 22(1) GDPR, per la qual cosa és la millor opció.

Els requisits són els que s’han vist anteriorment en l´apartat consentiment exprés.

b.- l’existència d’un interès legítim de l’empresa que durà a terme el perfil.

Si no es possible obtenir el consentiment del destinatari, es possible acudir com a causa de legitimació a l’interès legítim, supòsit que s´ha d´analitzar cas per cas per part del responsable para valorar la seva aplicació o no, en els termes explicats anteriorment.

d.- Drets ARPOLT

El dret d’oposició al perfilat és el dret a oposar-se a aquest tractament, incloent perfils en la mesura que es tracta d’aquest màrqueting directe.

e.- Clàusula informativa on NO es realitzen perfils ni es prenen decisions automatitzades

Si no es realitzen perfilats, es obligatori incloure a la clàusula informativa una informació d´aquest tipus:

S’informa als usuaris que no es farà perfils i no es prenen decisions automatitzades

f.- Clàusula informació on SI es realitzen perfilats i es prenen decisions automatitzades

Les dades personals seran tractades per a la creació de perfils amb la finalitat de proporcionar-li informació sobre serveis i/o productes adaptats a les seves preferències i vinculats amb (……….), sent la lògica utilitzada en la decisió (……….), així com el significat i les conseqüències esperades d’aquest tractament per a l’interessat (……….). Si desitja que les seves dades personals siguin tractades amb aquesta finalitat, doneu el vostre consentiment exprés marcant aquí: ___

4.5- Decisions automatitzades.

Les decisions automatitzades tenen un abast diferent i poden superposar-se parcialment del perfilat o derivar-se d´aquest.

Les decisions basades únicament en el tractament automatitzat representen la capacitat de prendre decisions per mitjans tecnològics, sense la participació de l’ésser humà.

Les decisions automatitzades es poden basar en qualsevol tipus de dades, per exemple:

a.- dades proporcionades directament per persones afectades (com ara respostes a un qüestionari);

b.- dades observades respecte de les persones (com ara dades d’ubicació recollides a través d’una aplicació);

c.- dades derivades o inferides com, per exemple, un perfil ja existent de la persona (per exemple, una qualificació creditícia).

Per poder tractar les dades personals a aquestes finalitats, s’han de complir els requisits establerts en aquest document.

6.- Avaluacions d’Impacte de Protecció de Dades (AIPD) i delegat de protecció de Dades (DPD)

La responsabilitat proactiva és un principi basic del RGPD i el DPD ha de participar en la AIPD.

Com a eina clau per a la rendició de comptes proactiva, un AIPD permet al responsable del tractament avaluar els riscos que plantegen les decisions automatitzades, incloent l elaboració de perfils.

És una manera d’indicar que s’han implementat les mesures oportunes per fer front a aquests riscos i demostrar el compliment del RGPD.

L’article 35, apartat 3, lletra a, posa l’accent en la necessitat que el responsable del tractament dugui a terme un EIPD en cas de:

” … avaluació sistemàtica i exhaustiva dels aspectes personals de les persones naturals basades en el tractament automatitzat, com la elaboració de perfils, i sobre la base dels quals es prenguin decisions que produeixen efectes jurídics per a les persones físiques o que els afecten significativament de manera similar …”.

7.- Els models de la política

A continuació es facilita el model de text i clàusules que cal incloure al web.

1.- La política de protecció de dades

Aquesta política de protecció de dades és aplicable a tots el tractament de dades personals efectuats pel responsable del tractament, tant a través del lloc web (……….) com per a la resta del tractament.

Per tant, abans de facilitar-nos dades personals, és imprescindible que conegueu la nostra política de protecció de dades.

Per a qualsevol pregunta sobre la política de protecció de dades pot posar-se en contacte amb aquest correu electrònic: (……….)

L’usuari declara haver estat informat d’aquesta política de protecció de dades de caràcter personal, acceptant el tractament de les dades personals per part del responsable del tractament per a les finalitats descrites.

La normativa aplicable és la següent:

a.- RGPD: Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, sobre protecció de les persones físiques.

b.- LOPDGDD: Llei Orgànica 3/2018, de 5 de desembre, Orgànica de Protecció de Dades de Caràcter Personal i Garantia de Drets Digitals.

c.- LSSI: Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i del comerç electrònic.

2.- La identitat del responsable

El responsable del tractament és (……..), amb CIF (………..), adreça en (……….), carrer (……….), numero (……….), C.P. (……….), telèfon (……….), e-mail (……….), inscrit al Registre Mercantil de (…………..), tom (…………..), foli (…………..) i inscripció (…………..).

3.- Les dades de contacte del delegat de protecció de dades

L’Usuari pot posar-se en contacte amb el Delegat de Protecció de Dades a través de la següent adreça (……….) o escrivint a l’adreça del responsable del tractament a l’atenció del “Delegat de Protecció de Dades”.

4.- El tractament de les dades personals

A continuació es descriuen els tractaments de dades personals que realitzem com a responsable.

a.- Clients

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

Delegat de Protecció de Dades: L’Usuari pot posar-se en contacte amb el Delegat de Protecció de Dades a través de la següent adreça de correu electrònic (……….) o escrivint a l’adreça del responsable del tractament a l’atenció del “Delegat de Protecció de Dades”.

La finalitat del tractament: Establir i executar la relació jurídica amb el client relacionada amb els serveis o productes contractats, el compliment de les persones jurídiques, comptables, fiscals i totes les relacionades amb o relacionades amb la relació jurídica establerta, contestar els seus dubtes o dubtes i per a la gestió, control, administració, extensió, execució i millora de la relació.

(NOTA: s´ha de mantenir el text de la clàusula finalitat publicitària, nomes en el cas en que el responsable decideixi tractar les dades personals amb finalitat publicitària. En aquest cas, l´usuari ha de poder marcar una casella tipo check box, ja que es obligatori que presti el seu consentiment previ i exprés si desitja rebre publicitat, marcant la casella . Per tant, si l´usuari no marca la casella, no se li pot enviar publicitat. Si el responsable no desitja realitzar publicitat, cal esborrar la clàusula del formulari).

Finalitat publicitària: Les dades es tractaran amb finalitat publicitària per enviar-li publicitat per qualsevol mitja, inclòs el correu electrònic, el sms, el ems, el mms, el fax o mitjans equivalents, dels productes i/o serveis del responsable relacionats amb (NOTA: incloure aquí el sector de l´activitat del responsable i per tant del tipus de publicitat a enviar, per exemple software, maquinària, assegurances, mobles, formació, immobiliari, etc.). Si desitja que les seves dades personals siguin tractades amb finalitat publicitària, presti el seu consentiment exprés marcant aquí:

(NOTA: respecte al perfilat, el responsable té 2 possibilitats:

a.- NO tractar les dades amb finalitats de perfilat. En aquest cas, cal incloure aquesta clàusula:

S’informa als usuaris que no es faran perfils amb les seves dades personals i no es prenen decisions automatitzades.

a.- SI tractar les dades amb finalitats de perfilat.

En aquest cas, l´usuari ha de poder marcar una casella tipo check box, ja que es obligatori que presti el seu consentiment exprés si desitja que es perfilin les seves dades, marcant la casella . Per tant, si l´usuari no marca la casella, no es poden perfilar les seves dades.

Legitimació del tractament: L’execució d’un contracte i el consentiment o interès legítim del responsable, en el supòsit del tractament amb finalitats publicitàries, perfilat i decisions automatitzades.

Les dades recollides: Nom, cognoms, DNI, adreça de contacte professional, correu electrònic, NIF.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

d.- Als encarregats de tractament, accés que en cap cas suposarà una cessió de dades, quan sigui necessari accedir a les seves dades personals per a la prestació dels serveis que el responsable del tractament hagi contractat amb aquests encarregats, i amb els que subscrits un contracte de tractament.

Terminis de conservació: el responsable tractarà les dades personals només durant el temps necessari per a la realització de les finalitats per a les quals van ser recollides, sempre que no es revoqui el consentiment atorgat. Un cop finalitzada la relació, es conservarà la informació bloquejada pels terminis legalment establerts que siguin necessaris per a la formulació, exercici o defensa de possibles reclamacions i posteriorment es procedirà a la seva supressió, llevat que concorri una causa de conservació.

Drets: L’interessat podrà exercir els drets d’accés, rectificació, supressió, sol·licitar que el tractament de les seves dades personals sigui limitat, oposar-se al tractament, sol·licitar portabilitat, a no ser objecte de perfilat ni de decisions individuals automatitzades i a revocar el consentiment prestat sense efectes retroactius, enviant una comunicació escrita al destinatari, aportant el DNI o document oficial acreditatiu de la identitat de l’interessat, indicant la sol·licitud o dret.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

b.- Clients potencials

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

Delegat de Protecció de Dades: L’Usuari pot posar-se en contacte amb el Delegat de Protecció de Dades a través de la següent adreça de correu electrònic (……….) o escrivint a l’adreça del responsable del tractament a l’atenció del “Delegat de Protecció de Dades”.

La finalitat del tractament: Les seves dades personals seran tractades amb la finalitat de respondre a les seves preguntes o preguntes, derivades del seu contacte amb el responsable del tractament.

(incloure, si escau, la finalitat publicitària segons el que consta a la clàusula clients

Les dades recollides: Nom, cognoms, DNI, adreça de contacte professional, correu electrònic, NIF.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

c.- Contactes a través del formulari web

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat del tractament: l’atenció de les consultes de l’usuari i les sol·licituds de contacte rebudes a través del lloc web, la gestió del servei sol·licitat i la seva resposta.

Legitimació del tractament: el consentiment prestat per l’usuari al responsable del tractament mitjançant la comprovació de la casella corresponent amb un sol clic.

Les dades recollides: el nom, el telèfon, el correu electrònic, la consulta, l’adreça IP, el sistema operatiu i la durada de la visita

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

d.- Control d’accés

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

Delegat de Protecció de Dades: L’Usuari pot posar-se en contacte amb el Delegat de Protecció de Dades a través de la següent adreça de correu electrònic (……….) o escrivint a l’adreça del responsable del tractament a l’atenció del “Delegat de Protecció de Dades”.

La finalitat del tractament: controlar l’accés i gestió de la seguretat interna de les instal·lacions del responsable a través de les dades facilitades per al control d’accés als edificis del responsable.

Legitimació del tractament: Interès legítim per garantir la seguretat de les persones, béns i instal·lacions per part del responsable del tractament, que justifica el tractament de les dades mitjançant control d’accés.

Les dades recollides: nom, cognoms, telèfon i DNI.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

e.- Butlletí informatiu

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

Delegat de Protecció de Dades: L’usuari pot posar-se en contacte amb el Delegat de Protecció de Dades a través de la següent adreça de correu electrònic (……….) o escrivint a l’adreça del responsable del tractament a l’atenció del “Delegat de Protecció de Dades”.

La finalitat del tractament: l´enviament d’informació, notícies, recordatoris i promocions que puguin ser del seu interès, relacionades amb les activitats del responsable.

Legitimació del tractament: prestació del consentiment de l’interessat.

Les dades recollides: adreça de correu electrònic, nom i cognoms.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

f.- Proveïdors

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat del tractament: Establir i executar la relació jurídica relacionada amb els serveis o productes contractats amb el proveïdor, el compliment de les persones jurídiques, comptables, fiscals i totes les relacionades amb o relacionades amb la relació jurídica establerta, contestar els seus dubtes o dubtes i per a la gestió, control, administració, extensió, execució i millora de la relació.

(incloure, si escau, la finalitat publicitària segons el que consta a la clàusula clients

Legitimació del tractament: L’execució d’un contracte i consentiment, a l’efecte del tractament amb finalitats publicitàries.

Les dades recollides: Nom, cognoms, DNI, adreça de contacte professional, correu electrònic, NIF.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

g.- Xarxes socials

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat del tractament: el registre i el seguiment dels comptes corporatius de les xarxes socials del responsable

Legitimació del tractament: el consentiment prestat per l’usuari en registrar-se a la xarxa social

Les dades recollides: les dades personals que faciliti l´usuari o la xarxa social quan es converteix en seguidor de les mateixes, com ara nom, cognoms, NIF, adreça de contacte, domicili, correu electrònic i telèfon de contacte

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

h.- Recursos humans

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat de la tramitació: Gestió de la relació laboral amb els empleats.

Legitimació del tractament: L’execució d’un contracte.

Les dades recollides: Nom, DNI, numero de la seguretat social, adreça, correu electrònic, telèfon / mòbil, estat civil, data i lloc de naixement, edat, sexe, nacionalitat, compte bancari, professió, experiència, formació i habilitats.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

i.- Selecció de personal

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat del tractament: gestió de l’aplicació de l’interessat als processos de selecció publicats o a altres llocs vacants segons el seu perfil professional que pugui sorgir en el futur dins de les activitats del responsable.

Legitimació del tractament: prestació del consentiment de l’interessat per a la seva inscripció en el servei de contractació.

Les dades recollides: nom, cognoms, telèfon, correu electrònic, CV, carta de presentació i qualsevol altra dada de caràcter personal associada al Currículum o perfil professional.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

j.- Videovigilància

Identitat de la persona responsable: (………..) amb adreça en (……….), carrer (……….), nombre (……….), C.P. (……….), telèfon (……….) i e-mail (………….)

La finalitat del tractament:

Garantir la seguretat de les persones, béns i instal·lacions.

Compliment de plans d’emergència

Ús de la videovigilància com a mitjà de control empresarial tant de l’accés com de la presència del treballador en el lloc de treball, així com de verificar el compliment de les seves obligacions i deures de treball.

Legitimació del tractament: Interès legítim

Les dades recollides: Imatges.

Destinataris: Amb caràcter general, el responsable no cedirà dades personals a tercers, llevat que hi hagi una obligació legal o tenim el consentiment exprés de l’interessat.

En concret, les dades personals podran ser cedides a:

a.- Administracions Públiques, Jutges i Tribunals per al compliment de les obligacions legals a les quals el responsable del tractament està subjecte per la seva activitat.

b.- A les entitats financeres per al compliment de les obligacions derivades del contracte entre el responsable del tractament i l’interessat.

c.- A tercers en tots els casos en què sigui necessari per al desenvolupament, compliment, execució i control del contracte entre el responsable del tractament i l’interessat.

L’interessat podrà presentar una reclamació davant l’Agència Espanyola de Protecció de Dades a través del lloc web www.agpd.es

El text complet de la política de protecció de dades, amb la resta d’informació de l’article 13 de l’RGPD, es pot trobar a la següent pàgina web: (………..)

k.- avís legal de correu electrònic

Aquest missatge i els seus annexos s’adrecen exclusivament al seu destinatari, conté informació confidencial que constitueix secret empresarial (Llei 1/2019, de secrets empresarials), informació que el responsable del tractament té interès a protegir, per la qual cosa queda legalment prohibida la seva divulgació. Si no és el destinatari, l’ha rebut per error o no està autoritzat, sàpiga que no pot llegir, copiar, guardar, revelar o fer ús d’ella, així que si us plau notifiqui el correu en el menor temps a (…….) o reenviï’l a l’adreça del remitent, i després procedeix a la supressió del correu i els seus fitxers adjunts sense llegir-los. La infracció d’aquest avís pot donar lloc a la comissió d’un delicte de divulgació de secrets de l’article 197 i següent del Codi Penal (Llei 10/1995).

D’acord amb la normativa de protecció de dades de caràcter personal, l’informem que les dades personals recollides o generades durant la comunicació amb el responsable del tractament, com l’adreça de correu electrònic i qualsevol altra informació continguda en el mateix, seran tractades pel responsable amb la finalitat de gestionar la seva sol·licitud, tant en el marc d’una relació comercial (obligació contractual) com de possible relació , així com en el cas de rebre un correu electrònic de forma espontània de vostè (interès legítim). Les dades es conservaran mentre la relació es mantingui vigent i, posteriorment, sempre que hi hagi responsabilitats legals o contractuals. Pot exercir els drets d’accés, rectificació, supressió, limitació, portabilitat i oposició en la direcció del responsable del tractament. Per a més informació pot revisar la política de protecció de dades en aquest lloc web (……….).

5.- Mesures de seguretat

El responsable del tractament ha implementat les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat, així com per evitar la pèrdua, mal ús, alteració i accés no autoritzat de les dades facilitades per l’usuari.

6.- Qualitat i actualització de dades personals

L’informem que està obligat a facilitar-nos les dades personals que li sol·licitem, ja que la conseqüència de no fer-ho és que no podem tractar les seves dades personals.

Així mateix, l’usuari es compromet a que les dades facilitades al responsable del tractament siguin actuals, reals i veritables i, per tant, a comunicar al responsable qualsevol actualització o modificació dels mateixos.

Si l’usuari comunica dades personals d’un tercer, es compromet a informar-lo amb antelació en els termes dels articles 13 i 14 del RGPD, a obtenir el seu consentiment previ i exprés per escrit i a tractar les dades per a les finalitats autoritzades pel tercer.

L’Usuari és l’únic responsable dels danys o perjudicis causats al responsable del tractament o a tercers pel tractament de les dades personals d’una tercera persona, o dels seus quan siguin falsos, erronis, no actuals, inadequats, excessius o no pertinents.

7.- Menors d’edat

Els continguts d’aquest lloc web estan destinats a persones majors de 18 anys, de manera que els menors de 18 anys no poden facilitar-nos dades de caràcter personal.

8.- Modificació de la Política de Protecció de Dades

El responsable del tractament podrà actualitzar o modificar en qualsevol moment la política de protecció de dades, d’acord amb la legislació aplicable, les novetats jurisprudencials o la pràctica empresarial, publicant la modificació de la mateixa en aquest lloc web.

Data d’última actualització: (……….)

Per una intel·ligència artificial de tothom per a tothom

Política de protecció de dades