Informe de Seguridad - Skyline Servicio De Taxi

LMS TAXI SOLUTION, S.L.

Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

Tel. 645 42 61 46

Email: info@skylinecabs.es

INFORME DE SEGURIDAD EN MATERIA PROTECCIÓN DE DATOS LMS TAXI SOLUTION, S.L.

Documento que detalla el Registro de las Actividades de Tratamiento efectuadas por la organización bajo su responsabilidad y/o por cuenta de otros responsables, de conformidad con lo dispuesto en el art. 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y en el art. 31 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

INFORME DE SEGURIDAD EN MATERIA PROTECCIÓN DE DATOS INDICE

DEFINICIONES.
RESPONSABLE DEL TRATAMIENTO.
SEDES DEL RESPONSABLE DEL TRATAMIENTO.
CORRESPONSABLES DEL TRATAMIENTO.
AUTORIDAD DE CONTROL.
RESPONSABLE DE SEGURIDAD – DELEGADO DE PROTECCIÓN DE DATOS.
TRANSFERENCIAS INTERNACIONALES DE DATOS.
PLAN FORMATIVO PARA LA APLICACIÓN DEL RGPD/LOPD-gdd.
REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS:

ACTIVIDADES PROPIAS.

ACTIVIDADES POR ENCARGO.

DOCUMENTOS ANEXOS:

MEDIDAS ORGANIZATIVAS MÍNIMAS.
PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES Y NOTIFICACIÓN DE BRECHAS DE SEGURIDAD.
POLÍTICA INTERNA DE AUTORIZACIÓN Y CONTROL DE ACCESOS A DATOS PERSONALES.
PLAZOS PREVISTOS PARA LA CONSERVACIÓN DE LAS DIFERENTES CATEGORÍAS DE DATOS.
PROTOCOLO PARA LA DESTRUCCIÓN SEGURA DE INFORMACIÓN.
PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS POR PARTE DE LOS INTERESADOS (véase el documento “EJERCICIO DE DERECHOS – FORMULARIOS.docx”).
CONTROL DE VERSIONES (véase el documento “CONTROL DE VERSIONES.docx”).

1.- DEFINICIONES

«DATOS PERSONALES» Toda información sobre una persona física identificada o identificable («el interesado»). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente; en particular, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

«TRATAMIENTO» Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

«LIMITACIÓN DEL TRATAMIENTO» El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

«ELABORACIÓN DE PERFILES» Toda forma de tratamiento automatizado consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

«SEUDONIMIZACIÓN» El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

«FICHERO» Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

«RESPONSABLE DEL TRATAMIENTO» La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

«ENCARGADO DEL TRATAMIENTO» La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

«DESTINATARIO» La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la UE o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

«TERCERO» Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

«CONSENTIMIENTO DEL INTERESADO» Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

«BRECHA DE SEGURIDAD» Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

«DATOS GENÉTICOS» Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

«DATOS BIOMÉTRICOS» Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

«DATOS RELATIVOS A LA SALUD» Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

«ESTABLECIMIENTO PRINCIPAL»

a) En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal.
b) En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al RGPD.

«REPRESENTANTE» Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 del RGPD, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en materia protección de datos.

«EMPRESA» Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.

«GRUPO EMPRESARIAL» Grupo constituido por una empresa que ejerce el control y sus empresas controladas.

«NORMAS CORPORATIVAS VINCULANTES» Políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para realizar transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

«AUTORIDAD DE CONTROL» La autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 del RGPD.

«AUTORIDAD DE CONTROL INTERESADA» La autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control.

«TRATAMIENTO TRANSFRONTERIZO»

a) El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro.
b) El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.

«OBJECIÓN PERTINENTE Y MOTIVADA» Desacuerdo respecto de una propuesta de decisión sobre la existencia o no de infracción del RGPD o sobre la conformidad con el RGPD de acciones previstas en relación con el responsable o el encargado del tratamiento; que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión.

«SERVICIO DE LA SOCIEDAD DE LA INFORMACIÓN» Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19).

«ORGANIZACIÓN INTERNACIONAL» Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

2.- RESPONSABLE DEL TRATAMIENTO

Artículo 4 RGPD

A efectos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) se entenderá por:

7) «responsable del tratamiento» o «responsable»: “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.

A continuación, se detallan los datos identificativos y de contacto del responsable del tratamiento de datos personales:

RESPONSABLE DEL TRATAMIENTO

LMS TAXI SOLUTION, S.L.

RAZON SOCIAL: LMS TAXI SOLUTION, S.L.

CIF/NIF: B56947286

ACTIVIDAD/ES: Serveis Transport

REPRESENTANTE: D. Lakhi Singh Kaur – 06.674.044-L – Cargo: Socio

Parvinder Randhawa Singh Kaur – 26.856.327-D – Cargo: Socio
Mandeep Singh Kaur – 55.488.384-X – Cargo: Socio

DATOS DE CONTACTO DEL RESPONSABLE DEL TRATAMIENTO

DIRECCIÓN SOCIAL: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

EMAIL: info@skylinecabs.es

TELÉFONO: 645 42 61 46

WEB: www.skylinecabs.es

3.- SEDES DEL RESPONSABLE DEL TRATAMIENTO

Se denomina “sede” a cada uno de los lugares donde la organización tiene ubicadas las oficinas o sucursales en las cuales se recaban, tratan o almacenan datos. Se debe tener en cuenta que se refiere a locales de uso del responsable del tratamiento, y no a los locales de las organizaciones prestadoras de servicios.

Si el responsable del tratamiento, además de la sede principal, dispone de más sedes o delegaciones, se detallarán a continuación (si no existen otras sedes, no aparecen):

IDENTIFICACIÓN:

DESCRIPCIÓN:

DIRECCIÓN:

CONTACTO:

IDENTIFICACIÓN:

DESCRIPCIÓN:

DIRECCIÓN:

CONTACTO:

IDENTIFICACIÓN:

DESCRIPCIÓN:

DIRECCIÓN:

CONTACTO:

IDENTIFICACIÓN:

DESCRIPCIÓN:

DIRECCIÓN:

CONTACTO:

IDENTIFICACIÓN:

DESCRIPCIÓN:

DIRECCIÓN:

CONTACTO:

4.- CORRESPONSABLES DEL TRATAMIENTO

Artículo 26.1 RGPD

“Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados”.

A continuación, se detallan los datos identificativos y de contacto de los corresponsables del tratamiento de datos personales (si no existen corresponsables, no aparecen):

DATOS DE IDENTIFICACIÓN DE LOS CORRESPONSABLES DEL TRATAMIENTO

RAZON SOCIAL:

IDENTIFICACIÓN:

ACTIVIDAD:

REPRESENTANTE:

RAZON SOCIAL:

IDENTIFICACIÓN:

ACTIVIDAD:

REPRESENTANTE:

RAZON SOCIAL:

IDENTIFICACIÓN:

ACTIVIDAD:

REPRESENTANTE:

RAZON SOCIAL:

IDENTIFICACIÓN:

ACTIVIDAD:

REPRESENTANTE:

5.- AUTORIDAD DE CONTROL

A continuación, se detallan los datos de identificación y de contacto de la Autoridad de Control:

AUTORIDAD: Agencia Española de Protección de Datos

TELÉFONO: 901 10 00 99 – 912 66 35 17

EMAIL: dpd@agpd.es

WEB: https://www.aepd.es

DIRECCIÓN: C/ Jorge Juan 6, 28001 Madrid

6.- RESPONSABLE DE SEGURIDAD – DELEGADO DE PROTECCIÓN DE DATOS

A continuación, se detallan los datos de identificación del Responsable de Seguridad nombrado en la organización y del DPD (en su caso), así como sus datos de contacto:

(1) DESIGNACIÓN: RESPONSABLE DE SEGURIDAD (RS)

RESPONSABLE: El Responsable de Seguridad es la propia entidad.

IDENTIFICACIÓN: LMS TAXI SOLUTION, S.L.

B56947286

EMAIL: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

(2) DESIGNACIÓN: DELEGADO DE PROTECCIÓN DE DATOS (DPD)

☒ NO PRECISA: La organización no precisa de la designación de un DPD con carácter obligatorio.

RGPD: El art. 37 exige la designación de un DPD en tres casos específicos:

Cuando el tratamiento se realice por una AUTORIDAD U ORGANISMO PÚBLICO.
Cuando las actividades principales del controlador o del procesador consisten en OPERACIONES DE TRATAMIENTO que requieren un control periódico y sistemático de los datos A GRAN ESCALA.
Cuando las actividades principales del controlador o del procesador consisten en PROCESAR A GRAN ESCALA CATEGORÍAS ESPECIALES DE DATOS O DATOS PERSONALES RELATIVOS A CONDENAS E INFRACCIONES PENALES.

LOPD-gdd: El art. 34 exige la designación de un DPD cuando se trate de las siguientes entidades:

Los COLEGIOS PROFESIONALES y sus CONSEJOS GENERALES.
Los CENTROS DOCENTES, UNIVERSIDADES PÚBLICAS Y PRIVADAS.
Las ENTIDADES QUE EXPLOTEN REDES Y PRESTEN SERVICIOS DE COMUNICACIONES ELECTRÓNICAS conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
Los PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN cuando elaboren a gran escala perfiles de los usuarios del servicio.
Las entidades de crédito (BANCOS|CAJAS DE AHORROS|COOPERATIVAS DE CRÉDITO|INSTITUTO DE CRÉDITO OFICIAL).
Los ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO.
Las ENTIDADES ASEGURADORAS Y REASEGURADORAS.
Las EMPRESAS DE SERVICIOS DE INVERSIÓN, reguladas por la legislación del Mercado de Valores.
Los DISTRIBUIDORES Y COMERCIALIZADORES DE ENERGÍA ELÉCTRICA / DE GAS NATURAL.
Las ENTIDADES RESPONSABLES DE FICHEROS COMUNES PARA LA EVALUACIÓN DE LA SOLVENCIA PATRIMONIAL Y CRÉDITO o de los ficheros comunes para la GESTIÓN Y PREVENCIÓN DEL FRAUDE, incluyendo a los responsables de los ficheros regulados por la legislación de PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO.
Las ENTIDADES QUE DESARROLLEN ACTIVIDADES DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL, incluyendo las de INVESTIGACIÓN COMERCIAL Y DE MERCADOS, cuando lleven a cabo TRATAMIENTOS BASADOS EN LAS PREFERENCIAS DE LOS AFECTADOS o realicen actividades que impliquen la ELABORACIÓN DE PERFILES DE LOS MISMOS.
Los CENTROS SANITARIOS LEGALMENTE OBLIGADOS AL MANTENIMIENTO DE LAS HISTORIAS CLÍNICAS DE LOS PACIENTES (se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual).
Las ENTIDADES QUE EMITAN INFORMES COMERCIALES QUE PUEDAN REFERIRSE A PERSONAS FÍSICAS.
Los OPERADORES QUE DESARROLLEN LA ACTIVIDAD DE JUEGO A TRAVÉS DE CANALES ELECTRÓNICOS, INFORMÁTICOS, TELEMÁTICOS E INTERACTIVOS, conforme a la normativa de regulación del juego.

ñ. Las EMPRESAS DE SEGURIDAD PRIVADA.

Las FEDERACIONES DEPORTIVAS cuando traten datos de menores de edad.

Por el tipo de actividad que lleva a cabo (Serveis Transport), la organización entiende que no precisa de la designación de un DPD con carácter obligatorio (no cumple ninguno de los criterios específicos del art. 37.1 RGPD ni se ajusta con ninguno de los casos específicos del art. 34.1 LOPD-gdd).

7.-TRANSFERENCIAS INTERNACIONALES DE DATOS

El RGPD establece que se podrán realizar transferencias internacionales de datos si el responsable o el encargado del tratamiento pueden asegurar que el nivel de protección de los datos personales de los interesados/afectados por tal transferencia está garantizado; no viéndose reducido respecto del nivel de seguridad que proporciona el RGPD.

La misma norma contempla distintas alternativas de cara a realizar transferencias internacionales de datos cumpliendo con las disposiciones del RGPD; entre las que destacan:

Actuar con base en una decisión de adecuación emitida por la Comisión de la Unión Europea

Transferir a aquellos países u organizaciones internacionales que ofrezcan garantías adecuadas en materia protección de datos; habiendo de contar los interesados, en todo caso, con derechos exigibles y acciones legales efectivas

A continuación, se detallan las posibles transferencias internacionales de datos realizadas por la organización (si no existieran transferencias internacionales, el formulario aparecerá sin rellenar):

DETALLES

TRANSFERENCIA INTERNACIONAL:

EXPORTADOR DE DATOS:

IMPORTADOR DE DATOS:

PAIS DE DESTINO:

LEGITIMACIÓN:

GARANTÍAS:

8.- PLAN FORMATIVO PARA LA APLICACIÓN DEL RGPD/LOPD-gdd

El responsable deberá formar en materia de protección de datos a todas las personas que, formando parte de su organización, tengan acceso a datos personales; a fin de que la materia de referencia sea conocida y permita un tratamiento de datos más seguro y eficiente por parte de la entidad.

Teniendo en cuenta que en la actualidad los datos representan uno de los mayores activos que poseen las empresas, es necesario que el personal disponga de los conocimientos necesarios en materia de protección de datos.

En el presente punto se indican los aspectos necesarios para que por parte del responsable se dé a conocer a los empleados la normativa vigente en materia protección de datos, posibilitando o facilitando tratar los datos debidamente. El responsable debe establecer los ejes principales y el contenido del plan de formación; que se planificará de forma anual y en atención a los recursos disponibles.

El contenido de la formación deberá de respetar, como mínimo, los siguientes puntos:

– Normativa Aplicable.

– Principios del RGPD/ LOPD-GDD.

– Ejercicio de derechos, consecuencias de su incumplimiento.

– Información actualizada en materia protección de datos.

Además, y de cara a llevar un control de los planes formativos implementados, el responsable deberá elaborar unos modelos de controles de asistencia, que deberán estar debidamente cumplimentados por los asistentes; y que deberá conservar debidamente para posibilitar su justificación ante los organismos oportunos.

10.- REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS

Artículo 4 RGPD

2) «tratamiento»: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Artículo 30 RGPD

Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del DPD;
b) Los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49.1 (párrafo segundo) del RGPD, la documentación de garantías adecuadas;
f) Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1 del RGPD.
Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
a) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) Las categorías de tratamientos efectuados por cuenta de cada responsable;
c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49.1 (párrafo segundo) del RGPD, la documentación de garantías adecuadas;
d) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1 del RGPD.

Artículo 31.1 LOPD-gdd

“Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.

Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro”.

1 – ACTIVIDADES PROPIAS:

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES PROPIAS

Art. 30.1 RGPD

ACTIVIDAD: GESTIÓN DE CLIENTES

BASE JURÍDICA: RGPD: 6.1.b = Tratamiento necesario para:

-La ejecución de un contrato en el que el interesado es parte.

La propia ejecución de la relación con el cliente (fundada en la existencia de una relación contractual de prestación de servicios, compraventa y/o distribución de productos) legitima el tratamiento.

RGPD: 6.1.c + LOPD-gdd: 8.1 * = Tratamiento necesario para:

-El cumplimiento de una obligación legal aplicable al responsable del tratamiento.

* Ley 58/2003, de 17 de diciembre, General Tributaria.

* Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.

RGPD: 6.1.f) * + LOPD-gdd: 19 = Tratamiento necesario para:

-La satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento.

* Interés legítimo – Ponderación de interés y análisis de necesidad: Existe una relación pertinente y apropiada entre el interesado y el responsable (considerando 47 RGPD). El tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica (datos necesarios para su localización profesional) se presume amparado para posibilitar el mantenimiento de la relación con la persona jurídica en la que el afectado preste sus servicios, de conformidad con lo dispuesto en el artículo 19 LOPD-gdd. La misma presunción operará en para el tratamiento de los datos relativos a empresarios individuales y a profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

FINES DEL TRATAMIENTO: Gestión contable, fiscal y administrativa de clientes: Gestión de la relación con los clientes; prestación de servicios y/o productos, pagos, facturación, comunicación y relación con clientes (contacto con las personas físicas que presten servicios en el cliente, en el caso de ser persona jurídica, empresarios individuales y/o profesionales liberales en dicha condición).

COLECTIVO:CLIENTES

PERSONAS DE CONTACTO

CATEGORÍA DE DATOS: Datos identificativos: Nombre y apellidos, DNI/NIF/CIF/Documento identificativo, dirección postal, teléfono, email, firma manuscrita / electrónica; datos de contacto de las personas físicas que presten servicios en el cliente, en el caso de ser persona jurídica, de empresarios individuales y/o profesionales liberales en dicha condición.

Datos económico-financieros y/o de seguros: Datos bancarios y relativos a deducciones impositivas/impuestos, transacciones financieras, compensaciones e indemnizaciones.

Datos de detalle de empleo: Datos relativos a la función o puesto desempeñado de las personas físicas que presten servicios en el cliente, en el caso de ser persona jurídica (datos necesarios para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios).

Aquellos otros datos que sean necesarios, pertinentes y oportunos para el desarrollo y mantenimiento de la gestión de clientes.

TIPO DE TRATAMIENTO: ☒ Automatizado — ☒ Manual (no automatizado) — ☒ Mixto

DESTINATARIOS: Cesiones previstas:

Administración Tributaria con competencia en la materia.

Entidades financieras.

Encargado/s del Tratamiento:

Entidades/profesionales a quien se pueda encomendar la realización de distintos tratamientos por cuenta del Responsable (véase, entre otros, el asesoramiento en materia fiscal y contable, soporte informático, alojamiento del correo, colaboradores…)

+ Información en el Doc. Anexo “Procedimientos de control interno del Responsable del tratamiento: Organizaciones de control de datos” del presente Registro de Actividades del Tratamiento.

TRANSF. INTERNACIONAL: No están previstas transferencias internacionales de datos. (Por Regla General)

PLAZO DE SUPRESIÓN: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, de conformidad con lo previsto por la legislación fiscal o de lucha contra el fraude respecto a la prescripción de responsabilidades.

+ Información en el Doc. Anexo “Plazos previstos para la conservación de las diferentes categorías de datos a tener en cuenta por el Responsable del tratamiento” del presente Registro de Actividades del Tratamiento.

MEDIDAS DE SEGURIDAD Las medidas de seguridad implantadas se corresponden con medidas definidas por el Responsable para gestionar los riesgos inherentes al tratamiento de los datos para garantizar los derechos y libertades de las personas y, a su vez, las medidas mínimas descritas por la Agencia Española de Protección de Datos para las actividades de tratamiento consideradas de bajo riesgo.

+ Información en los Doc. Anexos “Procedimientos de control interno del Responsable del tratamiento: Inventario de activos” y “Medidas técnicas y organizativas mínimas que el Responsable del tratamiento deberá tener en cuenta” del presente Registro de Actividades del Tratamiento.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES PROPIAS

Art. 30.1 RGPD

ACTIVIDAD: GESTIÓN DE PROVEEDORES

BASE JURÍDICA: RGPD: 6.1.b = Tratamiento necesario para:

-La ejecución de un contrato en el que el interesado es parte.

La propia ejecución de la relación con el proveedor (fundada en la existencia de una relación contractual de prestación de servicios, compraventa y/o distribución de productos legitima el tratamiento.

RGPD: 6.1.c + LOPD-gdd: 8.1 * = Tratamiento necesario para:

El cumplimiento de una obligación legal aplicable al responsable del tratamiento.

* Ley 58/2003, de 17 de diciembre, General Tributaria.

* Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.

RGPD: 6.1.f) * + LOPD-gdd: 19 = Tratamiento necesario para:

-La satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento.

FINES DEL TRATAMIENTO: Gestión contable, fiscal y administrativa de Proveedores: Gestión de proveedores, de pedidos y/o servicios solicitados, pagos, facturación, comunicación y relación con proveedores (contacto con las personas físicas que presten servicios en el proveedor, en el caso de ser persona jurídica, con empresarios individuales y/o profesionales liberales en dicha condición).

COLECTIVO: PROVEEDORES

PERSONAS DE CONTACTO

CATEGORÍA DE DATOS: Datos identificativos: Nombre y apellidos, DNI/NIF/CIF/Documento identificativo, dirección postal, teléfono, email, firma manuscrita / electrónica; datos de contacto de las personas físicas que presten servicios en el proveedor, en el caso de ser persona jurídica (datos necesarios para su localización profesional), de empresarios individuales y/o profesionales liberales en dicha condición.

Datos económico-financieros y/o de seguros: Datos bancarios y relativos a deducciones impositivas/impuestos, transacciones financieras, compensaciones e indemnizaciones.

Datos de detalle de empleo: Datos relativos a la función o puesto desempeñado de las personas físicas que presten servicios en el proveedor, en el caso de ser persona jurídica (datos necesarios para su localización profesional).

Aquellos otros datos que sean necesarios, pertinentes y oportunos para el desarrollo y mantenimiento de la gestión de proveedores.

TIPO DE TRATAMIENTO: ☒ Automatizado — ☒ Manual (no automatizado) — ☒ Mixto

DESTINATARIOS:

Cesiones previstas:

Administración Tributaria con competencia en la materia.

Entidades financieras.

Encargado/s del Tratamiento:

+ Información en el Doc. Anexo “Procedimientos de control interno del Responsable del tratamiento: Organizaciones de control de datos” del presente Registro de Actividades del Tratamiento.

TRANSF. INTERNACIONAL: No están previstas transferencias internacionales de datos. (Por Regla General)

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES PROPIAS

Art. 30.1 RGPD

ACTIVIDAD: RESOLUCIÓN DE CONSULTAS Y GESTIÓN DE POTENCIALES CLIENTES

BASE JURÍDICA: RGPD: 6.1.f) * = Tratamiento necesario para:

-La satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento.

* Interés legítimo – Ponderación de interés y análisis de necesidad: El Responsable del tratamiento entiende que cuando se procede al tratamiento de los datos personales en circunstancias en las que el interesado espera razonablemente que se realice un tratamiento ulterior (atención a su propia consulta), sobre dichos intereses no prevalecerán los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (considerando 47 RGPD). El tratamiento de los datos facilitados por el interesado, para el caso de que formulé cualquier tipo de sugerencia, queja o consulta a través de correo postal, teléfono y/o correo electrónico, se presume amparado para posibilitar la atención de la petición / consulta / solicitud del interesado.

RGPD: 6.1.b = Tratamiento necesario para:

-La aplicación a petición del interesado de medidas precontractuales.

La propia petición del interesado (fundada en la solicitud de presupuestación formulada por cualquiera de los canales habilitados) legitima el tratamiento.

RGPD 6.1.a =Tratamiento necesario para:

-El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Declaración por escrito, inclusive por medios electrónicos: el interesado marca una casilla de aceptación habilitada específicamente en el/los formulario/s de la página web del Responsable del tratamiento para el tratamiento de sus datos.

FINES DEL TRATAMIENTO: Resolución de consultas y contacto, y/o elaboración de presupuestos a potenciales clientes interesados en servicios/productos de la entidad, previa solicitud de estos.

COLECTIVO: SOLICITANTES

USUARIOS WEB

USUARIOS RRSS

CATEGORÍA DE DATOS: Datos identificativos: Nombre y apellidos, teléfono, email, Dirección IP.

Aquellos otros datos que puedan estar incluidos en la consulta.

TIPO DE TRATAMIENTO: ☒ Automatizado — ☐ Manual (no automatizado) — ☒ Mixto

DESTINATARIOS: Cesiones previstas:

No están previstas comunicaciones de datos.

Encargado/s del Tratamiento:

Entidades/profesionales a quien se pueda encomendar la realización de distintos tratamientos por cuenta del Responsable (véase, entre otros, el proveedor del alojamiento web y/o del correo electrónico…)

+ Información en el Doc. Anexo “Procedimientos de control interno del Responsable del tratamiento: Organizaciones de control de datos” del presente Registro de Actividades del Tratamiento.

TRANSF. INTERNACIONAL: No están previstas transferencias internacionales de datos. (Por Regla General)

PLAZO DE SUPRESIÓN: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES PROPIAS

Art. 30.1 RGPD

ACTIVIDAD: NOTIFICACIONES DE BRECHAS DE SEGURIDAD

BASE JURÍDICA:

RGPD: 6.1.c) = Tratamiento necesario para:

-El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Responsable del Tratamiento.

*Reglamento General de Protección de Datos.

*Ley Orgánica de Protección de Datos Personales y garantía de los derechos Digitales.

*Ley General de Telecomunicaciones.

FINES DEL TRATAMIENTO: Gestión, Valoración y notificación de brechas de seguridad en el seno de la Organización

COLECTIVO: CLIENTES

PROVEEDORES

PERSONAS DE CONTACTO

EMPLEADOS

REPRESENTANTE LEGALES

CATEGORÍA DE DATOS: Datos identificativos: Nombre y apellidos, teléfono, email, Dirección IP.

Aquellos otros datos que puedan estar incluidos en la consulta.

TIPO DE TRATAMIENTO: ☒ Automatizado — ☒ Manual (no automatizado) — ☒ Mixto

DESTINATARIOS: Cesiones previstas:

Defensor del Pueblo

Agencia Española de Protección de Datos.

TRANSF. INTERNACIONAL:No están previstas transferencias internacionales de datos. (por Regla general)

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES PROPIAS

Art. 30.1 RGPD

ACTIVIDAD: ATENCIÓN DERECHOS DE LOS INTERESADOS

BASE JURÍDICA:

RGPD: 6.1.c = Tratamiento necesario para:

-El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Responsable del Tratamiento.

*Reglamento General de Protección de Datos.

*Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales.

FINES DEL TRATAMIENTO: Atender las solicitudes de los ciudadanos en el ejercicio de los derechos que establece la normativa vigente en materia de Protección de Datos.

COLECTIVO: CLIENTES

PROVEEDORES

PERSONAS DE CONTACTO

EMPLEADOS

REPRESENTANTE LEGALES

CATEGORÍA DE DATOS: Datos identificativos: Nombre y apellidos, teléfono, email, Dirección IP.

Aquellos otros datos que puedan estar incluidos en la consulta.

TIPO DE TRATAMIENTO: ☒ Automatizado — ☒ Manual (no automatizado) — ☒ Mixto

DESTINATARIOS:

Cesiones previstas:

Defensor del Pueblo

Agencia Española de Protección de Datos

TRANSF. INTERNACIONAL:No están previstas transferencias internacionales de datos. (Por Regla General).

2 – ACTIVIDADES POR ENCARGO:

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS ACTIVIDADES POR ENCARGO

Art. 30.2 RGPD

ACTIVIDAD: ENTIDAD RESPONSABLE:

COLECTIVO:

CATEGORÍA DE DATOS:

TIPO DE TRATAMIENTO:

DESTINATARIOS:

TRANSF. INTERNACIONAL:

MEDIDAS DE SEGURIDAD:

MEDIDAS ORGANIZATIVAS MÍNIMAS

Documento anexo que detalla las medidas organizativas mínimas que el responsable deberá tener en cuenta a tenor de los diferentes tratamientos de datos llevados a cabo, los cuales han sido puestos de manifiesto en la auditoría inicial en materia de protección de datos; información que deberá ser conocida por todo el personal que trate o acceda a datos personales.

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

MEDIDAS ORGANIZATIVAS MÍNIMAS QUE EL RESPONSABLE DEL TRATAMIENTO DEBERÁ TENER EN CUENTA

Artículo 5 RGPD

Los datos personales serán tratados garantizando una seguridad adecuada: protección contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental, entre otras protecciones.

En consonancia con ello, deviene necesario el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad, confidencialidad o disponibilidad de los datos personales; debiendo tener capacidad de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).

A continuación, se detallan las medidas organizativas mínimas que el responsable deberá tener en cuenta, a tenor de los diferentes tratamientos de datos llevados a cabo, los cuales han sido puestos de manifiesto en la auditoría inicial en materia de protección de datos; información que deberá ser conocida por todo el personal que trate o acceda a datos personales.

MEDIDAS ORGANIZATIVAS: DEBER DE CONFIDENCIALIDAD Y SECRETO

Todo el personal con acceso a datos deberá tener conocimiento de sus obligaciones en materia protección de datos, debiendo ser informados de ellas por parte de la entidad.

La información mínima que será conocida por todo el personal será la siguiente:

DEBER DE CONFIDENCIALIDAD Y SECRETO Se deberá evitar el acceso de personas no autorizadas a los datos personales. A tal fin se evitará:

Dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos de papel en zonas de acceso público, pendrive en recepción sin vigilancia, etc.). Esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia.

Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.

Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.

No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.

No se comunicarán datos personales o cualquier información personal a terceros.

Se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.

El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la organización.

MEDIDAS ORGANIZATIVAS: PROCEDIMIENTO PARA ATENDER LOS DERECHOS DE LOS TITULARES DE LOS DATOS

El responsable informará a todas las personas con acceso a datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:

PROCEDIMIENTO PARA

ATENDER LOS DERECHOS DE LOS INTERESADOS Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición y portabilidad, entre otros derechos reconocidos por la normativa.

El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

Para el derecho de acceso se facilitará a los interesados la relación de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación y la identidad del responsable ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los datos; entre otros datos.

Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.

Para el derecho de supresión se suprimirán los datos de los interesados cuando, con carácter general, manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida u otra legitimación que persista.

Para el derecho de portabilidad los interesados deberán comunicar su decisión e informar al responsable sobre la identidad del nuevo responsable al que facilitar sus datos personales.

MEDIDAS ORGANIZATIVAS: PROCEDIMIENTO PARA LA NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Cuando se produzcan violaciones de seguridad de datos de carácter personal, más comúnmente conocidas como “quiebras de seguridad”, habrán de notificarse, con carácter general, a la Agencia Española de Protección de Datos.

De una forma muy amplia, una brecha de seguridad incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida o robo de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece:

NOTIFICACIÓN DE BRECHAS DE SEGURIDAD Se notificarán, con carácter general, a la Agencia Española de Protección de Datos en el término de 72 horas (con carácter general) dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales.

La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección:

https://sedeagpd.gob.es/sede-electronica-web/

PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES Y NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Documento que detalla el procedimiento aplicable por el responsable del tratamiento para la gestión interna de incidencias de seguridad y la notificación de una violación de la seguridad de los datos personales, con arreglo a lo dispuesto en los artículos 33 y 34 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (RGPD).

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES Y NOTIFICACIÓN DE BRECHAS DE SEGURIDAD:

Cuando se produzcan violaciones de seguridad de datos de carácter personal, como por ejemplo, el robo o acceso indebido a datos personales, se notificarán a la Agencia Española de Protección de Datos en el término de 72 horas (con carácter general) dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales; a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección:

https://sedeagpd.gob.es/sede-electronica-web/

En todo caso, el responsable debe documentar todas las violaciones de seguridad. En los casos en que sea probable que la violación de seguridad entrañe un riesgo muy alto para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus eventuales consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. Tal notificación habrá de respetar un contenido mínimo, fijado por la propia norma.

A TENER EN CUENTA POR EL RESPONSABLE:

– La valoración del riesgo de la quiebra de seguridad trata de establecer hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede tener para los afectados, puede causar un daño en sus derechos o libertades.

– Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

– Se considera que se tiene constancia de una violación de seguridad cuando hay certeza de que se ha producido una violación de seguridad de los datos personales.

– La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

– En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

– Puede haber casos en que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la complejidad en determinar completamente su alcance. En esos casos, es posible hacer la notificación con posterioridad, acompañándola de una explicación de los motivos que han ocasionado el retraso.

– La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

– El criterio de riesgo muy alto debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

MODELO DE NOTIFICACIÓN INTERNA DE VIOLACIONES DE SEGURIDAD

MODELO DE NOTIFICACIÓN INTERNA INCIDENTES DE SEGURIDAD

IDENTIFICACIÓN: ……………………… | Fecha y hora entrada: ……/……/20…… |…… : ……

DESCRIPCIÓN DE LA INCIDENCIA:

Tipo de incidencia: ………………………………………………………………………………………………………………

………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Fecha y hora en que se produjo: ……/……/20…… |…… : ……

IDENTIFICACIÓN DE LA PERSONA QUE REALIZA LA COMUNICACIÓN:

Nombre completo: ………………………………………………………………………………………………………………

DNI/NIE: ……………………………………………………………………………………………………………….

Cargo: ……………………………………………………………………………………………………………….

IDENTIFICACIÓN DE LA PERSONA A QUIEN SE COMUNICA:

Nombre completo: ………………………………………………………………………………………………………………

DNI/NIE: ………………………………………………………………………………………………………………

Cargo: ………………………………………………………………………………………………………………

DESCRIPCIÓN DE LAS POSIBLES CONSECUENCIAS DE LA VIOLACIÓN:

DESCRIPCIÓN DETALLADA DE LA VIOLACIÓN:

Naturaleza de la violación: ………………………………………………………………………………………………………………

………………………………………………………………………………………………………………

Categorías y nº aproximado de interesados afectados: ………………………………………………………………………………………………………………

………………………………………………………………………………………………………………

Categorías y nº aproximado de registros de datos personales afectados: ………………………………………………………………………………………………………………

………………………………………………………………………………………………………………Medidas adoptadas o propuestas por la organización para poner remedio a la violación de la seguridad de los datos personales: ………………………………………………………………………………………………………………

……………………………………………………………………………………………………………………………………………………………………………………………………………………………….

Medidas aplicadas para paliar los posibles efectos negativos sobre los interesados (si procede): ………………………………………………………………………………………………………………………………………………………………………………………………………………………………

RELACIÓN DE DOCUMENTACIÓN ADJUNTA:

1.-……………………………………………………………………………………………………………

2.-……………………………………………………………………………………………………………

3.-……………………………………………………………………………………………………………

Otros comentarios: ………………………………………………………………………………………………………………

Fdo. Persona que realiza la comunicación Fdo. Persona a quien se comunica

POLÍTICA INTERNA DE AUTORIZACIÓN Y CONTROL DE ACCESO A DATOS PERSONALES

Documento que detalla el deber del responsable del tratamiento de llevar a cabo una política interna de autorización de acceso a datos personales, con el fin de garantizar la protección de los datos personales de que es responsable la organización a través de la armonización, control y seguimiento tanto del tratamiento de datos a efectuar como del efectuado.

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

POLÍTICA INTERNA DE AUTORIZACIÓN Y CONTROL DE ACCESOS A DATOS PERSONALES:

Por parte del responsable del tratamiento se deberá elaborar una política interna de autorización de acceso a datos personales por parte de sus empleados, con el fin de definir qué persona, grupo de usuarios o departamentos puede “ver y hacer”.

Toda vez que por parte del responsable se haya efectuado dicha política de autorización, deberá implementar un protocolo para, previa solicitud del interesado, conceder o denegar el acceso a los recursos que desee controlar o proteger; así como un conjunto de medidas de seguridad y control para velar por el cumplimiento de las directrices facilitadas.

Para implementar dicha política interna de autorización de acceso, el responsable deberá:

1 – IDENTIFICAR

Identificar a los individuos, grupos de usuarios o departamentos que pueden realizar o tener acceso a determinadas aplicaciones, procesos o dispositivos, entre otros soportes, en los que se almacenen datos personales (ejemplo: una base de datos). Su resultado dependerá del tipo de actividad, del personal contratado o de los departamentos de la organización, entre otros factores determinantes, y servirá, en todo caso, para identificar aquella información que necesitamos controlar en nuestra organización.

2 – DEFINIR

Una vez identificada la información, el responsable deberá definir los grupos que tendrán diferente nivel de acceso e introducirá a las personas que correspondan en cada uno de los grupos (ejemplo: grupo financiero, administrativo, de sistemas, etc.).

3 – RELACIONAR Y CONTROLAR

Tras haber identificado los tipos de información que requieren control de acceso y definido los grupos por niveles de acceso, el siguiente paso será establecer la relación entre los grupos y la información. Mediante ella, el responsable podrá controlar qué personas deben acceder a qué información.

Para garantizar la correcta ejecución del procedimiento o política de control de accesos, la organización habrá de valorar/definir una serie puntos mínimos:

-Definir una clasificación e inventario de la información que establezca los requisitos de control de acceso aplicables. Lo determina por regla general la dirección de la organización (responsable). La información clasificada como confidencial debe estar protegida mediante una política de contraseñas.

-Determinar los grupos de la empresa que deben tener acceso a cierto tipo de información. Si una persona debe pertenecer a un grupo o no, debe decidirlo normalmente el responsable del departamento. Por ejemplo, tan solo el personal de RRHH y del departamento financiero disponen de acceso autorizado a la información de nóminas.

-Establecer los permisos que un grupo posee sobre determinada información. Esto lo determinará el responsable de la información o de la aplicación que maneja la información. Por ejemplo, el personal de RRHH solo posee permisos de lectura para la información referida a nóminas, mientras que el departamento financiero dispone de todos los permisos para el acceso a dicha información.

-Generar un procedimiento para solicitar accesos extraordinarios a la información. Es posible que una persona de administración, en ausencia o baja del personal financiero, deba acceder de manera extraordinaria a la información de nóminas para poder realizar los pagos.

-Establecer una periodicidad para realizar revisiones de los permisos asociados a cada uno de los grupos, con el fin de detectar desviaciones.

Generar un procedimiento para revocar la asignación de una persona a determinados grupos.

Es recomendable que el responsable siga el principio de mínimo privilegio, donde a cada grupo le asignará lo mínimo necesario para poder desempeñar su trabajo diario de una manera correcta.

No todas las personas necesitan tener acceso a toda la información de la empresa para poder realizar correctamente su trabajo. Establecer un control de acceso basado en la necesidad de conocimiento mínimo del personal ayudará a proteger la información de la organización y a evitar problemas de fugas o borrados intencionados de información sensible de la organización.

PLAZOS PREVISTOS PARA LA CONSERVACIÓN DE LAS DIFERENTES CATEGORÍAS DE DATOS

Documento que detalla los plazos determinados por el responsable del tratamiento para la conservación de las diferentes categorías de datos, de conformidad con lo dispuesto en el art. 30.1.f RGPD.

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

PLAZOS PREVISTOS PARA LA CONSERVACIÓN DE LAS DIFERENTES CATEGORÍAS DE DATOS:

CATEGORÍAS DE DATOS TIPO DE DOCUMENTOS y/o FICHEROS PERIODO DE CONSERVACION MÍNIMO FORMATO REF. LEGAL / ORIGEN DEL CRITERIO

CLIENTES Facturas 5 años Automatizado (ficheros informáticos) Código Penal

Normativa Contable

Código de Comercio

Normativa IVA

Ley del Impuesto sobre Sociedades

Ley de Blanqueo de Capitales

No automatizado (documentos en papel)

Contratos 5 años Automatizado (ficheros informáticos) Código Civil

Ley de Blanqueo de Capitales

Código Penal

No automatizado (documentos en papel)

PROVEEDORES Facturas 5 años Automatizado (ficheros informáticos) Código penal

Normativa Contable

Código de Comercio

Normativa IVA

Ley del Impuesto sobre Sociedades

No automatizado (documentos en papel)

Contratos 5 años Automatizado (ficheros informáticos) Código Civil

No automatizado (documentos en papel)

RRHH Nóminas, TC1, TC2, etc. 5 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones en el orden social

Código de Comercio

LO 7/2012 de modificación del CP

Normativa Contable

Normativa Laboral

Normativa IVA

No automatizado (documentos en papel)

Currículums El tiempo prudencial que considere el responsable, siempre y cuando los datos no se encuentren desactualizados y exista fundamentación para su conservación, con el plazo máximo de 24 meses

Recomendación: 6 meses a 1 año

En procesos de selección de personal, mientras dure el mismo (decisión final e incorporación del candidato elegido), con el límite de dos años. Los datos de candidatos no seleccionados se conservarán durante el tiempo prudencial que considere el responsable, respetando los límites arriba mencionados Automatizado (ficheros informáticos) Resoluciones y guías publicadas por la AEPD

No automatizado (documentos en papel)

Documentación indemnizaciones por despido 4 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones

en el Orden Social

No automatizado (documentos en papel)

Contratos / Registros Médicos de Trabajadores 5 años Automatizado (ficheros informáticos) Ley de infracciones y Sanciones

en el Orden Social

No automatizado (documentos en papel)

Datos trabajadores Temporales 4 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones

en el Orden Social

No automatizado (documentos en papel)

Expediente del trabajador 4 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones

en el Orden Social

No automatizado (documentos en papel)

Registros de jornada 4 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones

en el Orden Social

Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo

No automatizado (documentos en papel)

Documentación de prevención riesgos laborales: formación, relación de accidentes de trabajo, expedientes de accidentes laborales o enfermedades profesionales, etc. 5 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones

en el Orden Social

No automatizado (documentos en papel)

CONTROL DE ACCESO A INSTALACIONES Lista de Visitantes 30 días Automatizado (ficheros informáticos)

No automatizado (documentos en papel) Instrucción de Control de Acceso a edificios

VIDEOVIGILANCIA O CÁMARAS DE SEGURIDAD: Vídeos / imágenes para garantizar la seguridad de personas, bienes e instalaciones El tiempo prudencial que considere el responsable, hasta un plazo máximo de 1 mes desde su captación; salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra

la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72

horas desde que se tuviera conocimiento de la existencia de la grabación Automatizado (Ficheros de vídeo: imagen/voz, o imágenes) LOPD-gdd

Vídeos / imágenes relativos a control laboral

CONTABILIDAD Libros y Documentos Contables 6 años Automatizado (ficheros informáticos) Código de Comercio

No automatizado (documentos en papel)

Acuerdos de Socios y Consejos de Administración, Estatutos, Actas, … 6 años Automatizado (ficheros informáticos) Código de Comercio

No automatizado (documentos en papel)

Registros y Documentos relacionados con subvenciones 6 años Automatizado (ficheros informáticos) Ley General de Subvenciones

Código de Comercio

No automatizado (documentos en papel)

Estados Financieros, Informes de Auditoría 6 años Automatizado (ficheros informáticos) Código de Comercio

No automatizado (documentos en papel)

LOPD-gdd Registro Transferencias Internacionales 3 años Automatizado (ficheros informáticos) Ley Orgánica de Protección de Datos

No automatizado (documentos en papel)

Tratamiento de datos personales 3 años Automatizado (ficheros informáticos) Ley Orgánica de Protección de Datos

No automatizado (documentos en papel)

Datos Personales de empleados almacenados en redes, ordenadores y equipos de comunicaciones utilizados por estos, controles de acceso y sistemas de gestión/ administración internos 4 años Automatizado (ficheros informáticos) Ley de Infracciones y Sanciones en el Orden Social

No automatizado (documentos en papel)

PACIENTES Historia clínica 5 años Automatizado (ficheros informáticos) Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

No automatizado (documentos en papel)

PROPIETARIOS Libros de Actas de las Juntas, Convocatorias, comunicaciones, apoderamientos, demás documentos relevantes de las reuniones y todos los documentos relacionados con la Junta de Propietarios. 5 años Automatizado (ficheros informáticos) Ley de Propiedad Horizontal

No automatizado (documentos en papel)

HUÉSPEDES Libros-registro de entrada de viajeros 3 años Automatizado (ficheros informáticos) Orden INT/1922/2003

No automatizado (documentos en papel)

ABOGADOS Expedientes jurídicos 5 años Automatizado (ficheros informáticos) Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil

No automatizado (documentos en papel)

PROTOCOLO PARA LA DESTRUCCIÓN SEGURA DE INFORMACIÓN

Detalla los procedimientos que la organización deberá implementar para lograr la destrucción o borrado seguro de la información, a fin de evitar el acceso a su contenido o su recuperación posterior.

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

PROCEDIMIENTO PARA LA DESTRUCCIÓN SEGURA DE INFORMACIÓN:

Con el borrado y destrucción de soportes de información (discos duros, memorias flash, papel) se busca proteger la información confidencial y datos personales que puedan contener.

Una correcta destrucción de la información pretende evitar, entre otras repercusiones:

-Las sanciones legales derivadas del incumplimiento de la legislación que regula el tratamiento de la información de carácter personal.

-Los daños de imagen derivados de la divulgación de información que debería haberse borrado; los daños de imagen derivados de informaciones contenidas en soportes y equipos que deberían haberse destruido.

-Los costes de conservación y custodia.

-Los riesgos por robo o uso indebido de información confidencial.

DESTRUCCIÓN SEGURA DE LA INFORMACIÓN:

Para la destrucción segura de la información se deberá (en todo caso):

Adoptar aquellas medidas idóneas y necesarias dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Proceder a la destrucción de las copias o reproducciones desechadas, de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Algunos de los métodos adecuados para la destrucción de la información son:

Desmagnetización: Consiste en la exposición de los soportes de almacenamiento a un potente campo magnético para eliminar los datos almacenados en el dispositivo.
Destrucción física: Su objetivo es la inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena. Hay varios tipos de procedimientos, tales como la desintegración, pulverización, fusión e incineración (métodos de destrucción completa de los soportes) y la trituración (aplicable en medios de almacenamiento flexible).
Sobreescritura: Consiste en la escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Para asegurar la completa destrucción de los datos se debe escribir la totalidad de la superficie de almacenamiento.

PROTOCOLO A SEGUIR POR EL RESPONSABLE DEL TRATAMIENTO PARA LA DESTRUCCIÓN SEGURA DE LA INFORMACIÓN

GESTIÓN DE SOPORTES ADECUADA

1 – SEGUIR

Realizar un seguimiento de los dispositivos que están en funcionamiento, las personas o departamentos responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para el negocio.

2 – SUPERVISAR

Llevar a cabo la supervisión del estado de los dispositivos, y más concretamente, de aquellos que almacenan las copias de seguridad de estos datos.

3 – CONTROLAR

Controlar cualquier operación realizada sobre un dispositivo: mantenimiento, reparación, sustitución, etc.

4 – ASEGURAR

En los traslados de los dispositivos de almacenamiento a instalaciones externas a las de la empresa, asegurar que se cumple la cadena de custodia de los mismos, para evitar fugas de información.

En consonancia con ello y mientras permanezcan en la empresa, implementar medidas de seguridad adecuadas de cara a garantizar su confidencialidad, integridad y disponibilidad.

5 – DOCUMENTAR

Al seleccionar una herramienta de borrado, elegir aquella que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado.

En el caso de que la destrucción no se realice correctamente por fallo del dispositivo, este hecho debe documentarse claramente y utilizar métodos de destrucción física de dicho soporte, asegurando que se realice de forma respetuosa con el medio ambiente.

PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS POR PARTE DE LOS INTERESADOS LMS TAXI SOLUTION, S.L.

Documento que detalla los derechos individuales garantizados por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y los procedimientos que la organización ha implementado para facilitar el ejercicio y la atención debida de tales derechos, de conformidad con lo dispuesto en los arts. 15 a 22 del RGPD y en los arts. 12 a 18 de la LOPD-gdd.

CIBERDATOS SEGURIDAD DE LA INFORMACIÓN, SL

Carrera de San Jerónimo 15

28014 – Madrid

Tel. 912 90 99 28

Email: info@ciberdatos.es

PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS DE LOS INTERESADOS ANTE EL RESPONSABLE DEL TRATAMIENTO

La información de contacto para ejercer tales derechos ante el responsable del tratamiento es la siguiente:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

A continuación, se detallan los derechos individuales garantizados por el RGPD y la LOPD-gdd, explicando lo que significan en la práctica para el ciudadano y qué ha hecho la organización para atender su eventual ejercicio conforme a la legislación vigente:

DERECHO DEL CIUDADANO ARTÍCULO RGPD ARTÍCULO LOPD-gdd ¿QUÉ SIGNIFICA PARA EL CIUDADANO? ¿QUÉ SE HA IMPLEMENTADO EN LA ORGANIZACIÓN?

DERECHO A ESTAR INFORMADO 12 – 13 – 14 11 Antes de que sus datos sean recabados (con carácter general), el ciudadano tiene derecho a conocer cómo serán recogidos, procesados, almacenados y con qué propósitos. Se han creado políticas de información de fácil lectura indicando los datos recogidos y tratados, finalidades, bases legales, posibles cesiones y transferencias internacionales, derechos, etc.

Dicha información se da antes de recabar los datos.

DERECHO DE ACCESO 15 13 El ciudadano tiene derecho a conocer si la entidad trata datos personales de que él sea propietario, y en su caso, información correlacionada Se ha implementado un sistema organizativo interno para realizar un seguimiento de la información que, en su caso, pueda existir de una persona física determinada; así como para revisar y resolver las solicitudes de acceso y comunicar la resolución al ciudadano en un máximo de 30 días.

DERECHO DE RECTIFICACIÓN 16 14 El ciudadano tiene derecho a obtener una corrección de sus datos incompletos o incorrectos. Se ha implementado un sistema para revisar y resolver las solicitudes de rectificación, corregir los datos y confirmar la rectificación al solicitante en un plazo máximo de 30 días.

En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la rectificación a dichas organizaciones.

DERECHO DE SUPRESIÓN (“OLVIDO”) 17 15 El ciudadano tiene derecho a que sus datos sean eliminados de forma permanente. Se ha implementado un sistema para revisar y resolver las solicitudes de supresión de los datos de un ciudadano, eliminar los datos y confirmar la eliminación al ciudadano en un plazo máximo de 30 días.

En caso de que terceras organizaciones estén implicadas en el tratamiento, también se envía la solicitud de eliminación a dichas organizaciones.

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO 18 16 El ciudadano tiene derecho a bloquear o limitar los tipos de tratamientos y finalidades de uso a los que son sometidos sus datos. Se ha implementado un sistema para revisar y resolver las solicitudes de limitaciones de uso de los datos de un ciudadano, pausar el procesamiento sin eliminar los datos (bloqueo) y confirmar al ciudadano la limitación establecida en un plazo máximo de 30 días.

DERECHO A LA PORTABILIDAD 20 17 El ciudadano tiene derecho a mover, copiar o transferir sus datos personales de una organización a otra, de forma segura, en formato legible y comúnmente usado.

También incluye el derecho a que sus datos sean transferidos directamente de una organización a otra bajo petición del ciudadano. En caso de ser oportuno, se procederá a implementar un sistema para revisar y resolver las solicitudes de portabilidad de los datos de un ciudadano, transferir los datos a otras organizaciones o al ciudadano de forma segura y en formato legible o estandarizado, en un plazo máximo de 30 días.

DERECHO DE OPOSICIÓN 21 18 El ciudadano tiene derecho a negarse al uso y tratamiento de sus datos para fines para los que no se haya prestado consentimiento explícito. Se ha implementado un sistema para revisar y resolver las solicitudes de oposición y comunicarlo al ciudadano en un plazo máximo de 30 días, a la vez que se informa a las terceras organizaciones implicadas en el tratamiento de los datos.

DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS 22 18 El ciudadano tiene derecho a solicitar intervención humana en la toma de decisiones, en lugar de ser objetivo de decisiones automatizadas mediante algoritmos. Se ha implementado un sistema para revisar y resolver las solicitudes para no ser objeto de decisiones automatizadas, revertir las decisiones tomadas por algoritmo y comunicarlo al ciudadano en un plazo máximo de 30 días.

FORMULARIOS PARA EL EJERCICIO DE DERECHOS POR PARTE DEL INTERESADO

A continuación, se especifican los diferentes formularios que el responsable del tratamiento ha implementado en la organización para facilitar el ejercicio y la atención debida de los derechos de que dispone el interesado conforme a la legislación vigente:

Derecho de acceso

El derecho de acceso permite conocer si el responsable está o no tratando los datos de carácter personal del interesado y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:

-Una copia de los datos personales objeto del tratamiento.

-Los fines del tratamiento.

-Las categorías de datos personales que se traten.

-Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales.

-El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo.

-La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento.

-El derecho a presentar una reclamación ante una Autoridad de Control.

-Cuando los datos personales no se hayan obtenido directamente del interesado, cualquier información disponible sobre su origen.

-La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado.

-Cuando se transfieran datos personales a un tercer país o a una organización internacional, derecho a ser informado de las garantías adecuadas implementadas para realizar dichas transferencias.

FORMULARIO PARA EL EJERCICIO DEL DERECHO DE ACCESO

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

Que se le facilite gratuitamente el derecho de acceso a los datos reseñados en el apartado 3 que esten siendo objeto de tratamiento por el responsable, en el plazo máximo de un mes a contar desde la recepción de esta solicitud, y que se remita a la dirección a efectos de notificaciones arriba indicada.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra (especificar):

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO DE ACCESO

Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntaria deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables de la identidad de la persona que cursa la solicitud, podrá solicitar que se faciliten aquellas informaciones adicionales que resulten necesarias para confirmar la identidad del interesado.
El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el solicitante presente la solicitud por medios electrónicos, y en la medida de lo posible, la información se facilitará en formato de uso común a través de tales medios, a menos que el solicitante indique que se facilite de otro modo.
En caso de que el responsable no diera curso a la solicitud efectuada mediante el presente formulario, informará al interesado sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control (en el caso de España, ante la Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.
La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de datos serán a título gratuito.

6.Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

DERECHO DE RECTIFICACIÓN

El ejercicio de este derecho supone obtener, sin dilación indebida, la rectificación de aquellos datos personales que sean inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tiene derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. En la solicitud, el interesado deberá indicar a qué datos se refiere y la corrección que hay que realizar. Además, cuando sea necesario, deberá acompañar la solicitud con la documentación que justifique la inexactitud o el carácter incompleto de los datos.

FORMULARIO PARA EL EJERCICIO DEL DERECHO DE RECTIFICACIÓN

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286
CONTACTO: info@skylinecabs.es
DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)
TELÉFONO: 645 42 61 46
PÁGINA WEB: www.skylinecabs.es

*1) DATOS DEL SOLICITANTE (completar los campos marcados con ):

* NOMBRE Y APELLIDOS:
* DNI/NIE/PASAPORTE:
* DIRECCIÓN POSTAL:
* E-MAIL:
* DIRECCIÓN A EFECTO DE NOTIFICACIONES
Elija entre Dirección Postal o e-mail:
• Dirección postal
• E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:
* DNI/NIE/PASAPORTE:
* DIRECCIÓN POSTAL:
* E-MAIL:
* DIRECCIÓN A EFECTO DE NOTIFICACIONES
Elija entre Dirección Postal o e-mail:
• Dirección postal
• E-mail

2) SOLICITA:

Que se proceda a acordar la rectificación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de un mes a contar desde la recogida de esta solicitud y que se me notifique de forma escrita el resultado de la rectificación practicada.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte
• Documento acreditativo de la representación
• Otra (especificar):

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO DE RECTIFICACIÓN

Este formulario se utilizará en el caso de que deban rectificarse datos inexactos o incompletos de un interesado en un determinado tratamiento. Para probar el carácter inexacto o incompleto de los datos que figuran en el tratamiento, resulta necesaria la aportación de aquellos documentos que lo acrediten, debiendo figurar en el apartado 4) del presente formulario una relación de los documentos adjuntos.
El responsable dará traslado de las rectificaciones efectuadas a cada uno de los destinatarios a los que se hayan comunicado los datos errados o inexactos, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntario deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

5.Cuando el solicitante presente la solicitud por medios electrónicos, y en la medida de lo posible, la información se facilitará en formato de uso común a través de tales medios, a menos que el solicitante indique que se facilite de otro modo.

6.En caso de que el responsable no diera curso a la solicitud efectuada mediante el presente formulario, informará al interesado sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control (en el caso de España, ante la Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.

7.La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de datos serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

Derecho de oposición

Este derecho facilita al interesado oponerse, por motivos relacionados con su situación particular, al tratamiento de sus datos personales que un responsable del tratamiento venga realizando. Los escenarios más habituales en que tal derecho se ejerce son:

Cuando el tratamiento efectuado está legitimado en una misión de interés público o en un interés legítimo, el responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando el tratamiento tenga como finalidad la mercadotecnia directa, el responsable habrá de dejar de tratar los datos personales del interesado para dichos fines.

FORMULARIO PARA EL EJERCICIO DEL DERECHO DE OPOSICIÓN

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

Que se proceda a dejar de tratar los datos personales sobre los cuales ejercito el derecho de oposición, que se realice en el plazo de un mes a contar desde la recogida de esta solicitud y que se me notifique de forma escrita el resultado de la oposición practicada.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra (especificar):

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO DE OPOSICIÓN

1.El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de tratamiento basado en el interés público o en el interés legítimo del responsable del tratamiento, incluida la elaboración de perfiles sobre la base de estas legitimaciones. El responsable dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.

2.Cuando el tratamiento tenga por objeto la mercadotecnia directa, incluida en su caso la elaboración de perfiles, el interesado tendrá derecho a oponerse en todo momento. En este caso los datos dejarán de ser tratados por el responsable para dichos fines.

3.A más tardar, en el momento de la primera comunicación con el interesado, se le hará conocedor de tal derecho; claramente y al margen de cualquier otra información.

4.Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntario deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

5.El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

6.Cuando el solicitante presente la solicitud por medios electrónicos, y en la medida de lo posible, la información se facilitará en formato de uso común a través de tales medios, a menos que el solicitante indique que se facilite de otro modo.

7.En caso de que el responsable no diera curso a la solicitud efectuada mediante el presente formulario, informará al interesado sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control (en el caso de España, ante la Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.

8.La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de datos serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

Derecho de supresión

El ejercicio de tal derecho persigue la supresión de los datos de carácter personal del interesado, petición que habrá de ser obligadamente satisfecha por el responsable en los siguientes supuestos:

-Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

-Tratamiento previamente basado en el consentimiento expreso, no existiendo tras su retirada otra causa que lo legitime.

-Si se ha ejercido el derecho de oposición en cualesquiera de las siguientes circunstancias:

oEl tratamiento del responsable se fundamentaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de los datos.

oLos datos eran tratados con fines de mercadotecnia directa, incluyendo la elaboración perfiles relacionada con la citada actividad de tratamiento.

-Los datos personales han sido tratados ilícitamente.

-Los datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.

-Los datos personales se han obtenido de un menor de 14 años o/y de su representante legal.

Además, el RGPD conecta de cierta forma el referido derecho con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado, dentro de la medida de lo posible, a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

FORMULARIO PARA EL EJERCICIO DEL DERECHO DE SUPRESIÓN

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

*NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

Que se proceda a acordar la supresión de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de un mes a contar desde la recogida de esta solicitud y que se me notifique de forma escrita el resultado de la supresión practicada.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra (especificar):

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO DE SUPRESIÓN

1.El responsable quedará obligado, previa solicitud, a la supresión de los datos personales cuando concurra alguna de las circunstancias siguientes:

a.Los datos ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

b.El interesado ha retirado el consentimiento para el tratamiento de los datos y dicho tratamiento no está legitimado por ningún otro fundamento jurídico.

c.El interesado se ha opuesto al tratamiento y no prevalecen otros motivos legítimos para su tratamiento; o el responsable queda obligado a atender su solicitud (mercadotecnia directa).

d.Los datos personales han sido tratados ilícitamente.

e.Los datos deben suprimirse en cumplimiento de una obligación legal que aplique al responsable del tratamiento.

f.Los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información a menores de 14 años.

2.Cuando el responsable hubiera hecho públicos los datos personales y esté obligado a suprimir dichos datos, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3.El responsable comunicará cualquier supresión de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

8.La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

9.No obstante, la supresión de los datos no se llevará a cabo cuando los datos sean necesarios para ejercer el derecho a la libertad de expresión e información; para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; por razones de interés público en el ámbito de la salud pública; con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos; o para la formulación, el ejercicio o la defensa de reclamaciones.

Derecho a la limitación del tratamiento

Este derecho consiste en solicitar que el responsable limite el tratamiento que puede efectuar de los datos personales del interesado, si bien su ejercicio presenta dos vertientes:

i) Solicitar la suspensión del tratamiento:

-Cuando se impugne la exactitud de los datos personales, durante un plazo que permita al responsable su verificación.

-Cuando el interesado se haya opuesto al tratamiento de sus datos personales, tratados en base a un interés legítimo o misión de interés público, mientras el responsable verifica si estos motivos

prevalecen sobre los del interesado.

ii) Solicitar la conservación de datos:

-Cuando el tratamiento sea ilícito, y el interesado solicite la limitación de su uso en lugar de la supresión de tales datos.

-Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

FORMULARIO PARA EL EJERCICIO DEL DERECHO DE LIMITACIÓN

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

Que se proceda a dejar de tratar los datos personales sobre los cuales se ejercita el derecho de limitación en el plazo máximo de un mes a contar desde la recepción de esta solicitud y que se remita a la dirección a efectos de notificaciones arriba indicada la resolución de la presente solicitud.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra (especificar):

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO DE LIMITACIÓN

1.El interesado tendrá derecho a obtener del responsable la limitación del tratamiento de los datos cuando:

a.El interesado impugne la exactitud de los datos, durante un plazo que permita al responsable verificar la exactitud de los mismos.

b.El tratamiento sea ilícito y el interesado se oponga a la supresión, solicitando en su lugar la limitación.

c.El responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para la formulación, ejercicio o defensa de reclamaciones;

d.El interesado se haya opuesto al tratamiento, legitimado en base a un interés legítimo o misión de interés público, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

2.El responsable comunicará cualquier limitación del tratamiento de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

3.Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntario deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

4.El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

8.Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

9.Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.

Derecho a la portabilidad

Cuando el tratamiento efectuado esté legitimado en base al consentimiento o en el marco de la ejecución de un contrato, y este se efectúe por medios automatizados, el responsable habrá de atender la solicitud del interesado, facilitando los datos personales objeto de tratamiento (y previamente comunicados al responsable) en un formato estructurado, de uso común, de lectura mecánica e interoperable; conforme a las instrucciones facilitadas: bien a otro responsable bien al propio interesado.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar a aquellos tratamientos que sean necesarios para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

FORMULARIO PARA EL EJERCICIO DEL DERECHO A LA PORTABILIDAD DE LOS DATOS

Por favor, complete los datos e información, imprima, firme y remita su solicitud a

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho

mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

Que se me entreguen, en el plazo máximo de un mes, los datos personales que me incumban y que haya facilitado al responsable, en un formato estructurado, de uso común y lectura mecánica.
Que, en caso de que sea técnicamente posible, lo datos personales sean transmitidos directamente al responsable indicado en el apartado 3 siguiente.
Que se lleven a cabo las dos opciones anteriores, cuando sea técnicamente posible.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD Y RESPONSABLE DEL TRATAMIENTO AL QUE DESEA REALIZAR LA PORTABILIDAD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra: (especificar)

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO A LA PORTABILIDAD DE LOS DATOS

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado al responsable; en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el primer responsable, cuando el tratamiento esté basado en el consentimiento, o en un contrato, y el tratamiento se efectúe por medios automatizados.

Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado anterior, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

El ejercicio del derecho mencionado en el apartado 1 del presente apartado se entenderá sin perjuicio del ejercicio del derecho de supresión. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntario deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el solicitante presente la solicitud por medios electrónicos, y en la medida de lo posible, la información se facilitará en formato de uso común a través de tales medios, a menos que el solicitante indique que se facilite de otro modo.
En caso de que el responsable no diera curso a la solicitud efectuada mediante el presente formulario, informará al interesado sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control (en el caso de España, ante la Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.
La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de datos serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

Derecho a no ser objeto de decisiones individuales automatizadas

Este derecho pretende garantizar que los interesados no sean objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte significativamente de forma similar.

La elaboración de perfiles consiste en cualquier forma de tratamiento de datos que evalúe aspectos personales, en particular: analizar o predecir aspectos relacionados con el rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento.

El derecho a no ser objeto de decisiones individuales automatizadas no será aplicable cuando:

– Sea necesario para la celebración o ejecución de un contrato entre el interesado y el responsable.

– El tratamiento de datos se fundamente en el consentimiento prestado previamente.

No obstante, en estos dos primeros supuestos, el responsable deber garantizar al interesado el derecho a obtener la intervención humana, expresar su punto de vista e impugnar la decisión.

Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

Para las categorías especiales de datos, aplican excepciones distintas a las expresadas anteriormente:

– Consentimiento expreso del interesado.

– Tratamiento necesario por razones de interés público esencial.

No obstante, en estos dos supuestos, se han de haber adoptado por el responsable medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

FORMULARIO PARA EL EJERCICIO DEL DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES

Por favor, complete los datos e información, imprima, firme y remita su solicitud a:

RESPONSABLE: LMS TAXI SOLUTION, S.L. – B56947286

CONTACTO: info@skylinecabs.es

DIRECCIÓN: Carretera Esplugues 6, 4-4, 08906 L’Hospitalet de Llobregat (Barcelona)

TELÉFONO: 645 42 61 46

PÁGINA WEB: www.skylinecabs.es

1) DATOS DEL SOLICITANTE (completar los campos marcados con *):

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

Si el solicitante es menor de edad o incapacitado o ejerce el derecho mediante representante voluntario, DATOS DEL REPRESENTANTE:

* NOMBRE Y APELLIDOS:

* DNI/NIE/PASAPORTE:

* DIRECCIÓN POSTAL:

* E-MAIL:

* DIRECCIÓN A EFECTO DE NOTIFICACIONES

Elija entre Dirección Postal o e-mail:

Dirección postal
E-mail

2) SOLICITA:

El derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en mi persona o me afecten significativamente de modo similar; y se me notifique en el plazo máximo de un mes, de forma escrita, el resultado de la presente solicitud.

3) DATOS Y/O TRATAMIENTOS A LOS QUE SE REFIERE SU SOLICITUD:

4) DOCUMENTACIÓN QUE APORTA (marcar lo que proceda):

Fotocopia DNI/NIE/Pasaporte

Documento acreditativo de la representación

Otra: (especificar)

5) OBSERVACIONES Y COMENTARIOS ADICIONALES:

En……………………….a………de………………………de 20……

Firmado: …………………………………….

INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DEL FORMULARIO PARA EL EJERCICIO DEL DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Lo anterior no aplicará si la decisión:

a.Es necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable.

b.Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

c.Se basa en el consentimiento explícito del interesado.

En los casos a que se refiere el apartado 2, letras a) y c), el responsable adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales, salvo que se haya obtenido el consentimiento del interesado o el tratamiento sea necesario por razones de interés público esencial, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del tratamiento pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal o voluntario deberá aportarse, además, DNI del representante y documento acreditativo de tal representación. Sin perjuicio de lo anterior, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
El plazo de contestación a su solicitud, que es de máximo un mes desde su recepción, podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas. El responsable informará al solicitante de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el solicitante presente la solicitud por medios electrónicos, y en la medida de lo posible, la información se facilitará en formato de uso común a través de tales medios, a menos que el solicitante indique que se facilite de otro modo.
En caso de que el responsable no diera curso a la solicitud efectuada mediante el presente formulario, informará al interesado sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control (en el caso de España, ante la Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.
La información facilitada, así como toda comunicación y cualquier solicitud ejercida conforme a la normativa vigente en materia de protección de datos serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información/comunicación o realizar la actuación solicitada; o negarse a actuar respecto de la solicitud.

Descargue La Aplicación Skyline Cab.

Aplicación Certificado Por :

About Us

Legal Policy

Useful Links

Hoja informativa