PROTECCIÓN DE DATOS

GALILEO SATELLITE CONTROL SYSTEMS S.L. y la contraparte que acepta las presentes Condiciones (el “Cliente”), han celebrado un “Contrato para la prestación de los servicios” (con sus enmiendas puntuales, el “Contrato”).

1. TRATAMIENTO DE DATOS.

En cumplimiento de lo dispuesto en el Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, así como de la Ley Orgánica 3/18, de Protección de Datos Personales y Garantía de los Derechos Digitales, GALILEO SATELLITE CONTROL SYSTEMS, como responsable del tratamiento pone en su conocimiento que los datos de carácter personal que usted ha prestado en el “Contrato de prestación de servicios” que regula la relación comercial, serán tratados para las finalidades propias de gestión de dicho contrato, sobre la base legal del artículo 6.1 b) y c) del citado Reglamento, que es la ejecución de nuestro contrato y el cumplimiento de las obligaciones legales que son de aplicación a la presente relación comercial. Los datos se cederán a las entidades bancarias y a organismos de la Administración Pública con competencias en la materia. Ponemos en su conocimiento la posibilidad de ejercer sus derechos de acceso, rectificación y supresión de sus datos, además de otros que explicamos en nuestra política de privacidad, que podrá hacer efectivos dirigiéndose por correo electrónico a info@galileo-europe.com.

 

2. DATOS DE LOS USUARIOS GEOLOCALIZADOS.

GALILEO SATELLITE CONTROL SYSTEMS almacena datos de geolocalización de los dispositivos y datos de los usuarios de la plataforma (a quienes designa EL CLIENTE) desde la que tienen acceso a visualizar dicho dispositivo.

Por lo tanto, GALILEO SATELLITE CONTROL SYSTEMS no almacena ni trata datos de carácter personal de los usuarios de los dispositivos geolocalizados, sino de los usuarios de la plataforma, por lo que la gestión de los mismos se documentará en las correspondientes cláusulas de encargo del tratamiento.

 

3. MENSAJES DE LOCALIZACIÓN.

GALILEO SATELLITE CONTROL SYSTEMS podrá enviar de forma periódica y aleatoria a los Usuarios de Conexión mensajes cortos indicando la posibilidad de ser localizados a través de la aplicación.

 

4. FINALIDAD Y TRATAMIENTO.

GALILEO SATELLITE CONTROL SYSTEMS no decide sobre la finalidad ni sobre el tratamiento de los datos obtenidos por los dispositivos de geolocalización, limitándose en todo momento a actuar en virtud de las instrucciones dadas por EL CLIENTE.

 

5. INFORMACIÓN LEGAL SOBRE GEOLOCALIZACIÓN.

GALILEO SATELLITE CONTROL SYSTEMS le comunica al CLIENTE que tiene la obligación de informar a los usuarios de los dispositivos de geolocalización cuyo servicio contrata de la existencia y características de estos dispositivos, así como de la posibilidad por parte de estos usuarios del ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión, tal y como establece el artículo 90 de la Ley Orgánica 3/18, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo, GALILEO SATELLITE CONTROL SYSTEMS le informa al CLIENTE de su obligación de informar a los usuarios de los dispositivos sobre cómo desactivar dichos dispositivos de monitorización fuera de las horas de trabajo e incluso cómo deshabilitar ciertas funcionalidades no indispensables para el trabajo que desarrolle.

GALILEO SATELLITE CONTROL SYSTEMS comunica al CLIENTE que las finalidades para las que usen estos dispositivos deberán ser legítimas, por lo que GALILEO SATELLITE CONTROL SYSTEMS se exime de cualquier responsabilidad que pudiera surgir por un uso ilegal o indebido de los dispositivos por parte de EL CLIENTE.

 

CONTRATO DE PRESTACIÓN DE SERVICIOS DE GEOLOCALIZACIÓN
Reglamento (UE) 2016/679 General de Protección de Datos
CONDICIONES DEL TRATAMIENTO DE DATOS

 

GALILEO SATELLITE CONTROL SYSTEMS SL, en adelante el ENCARGADO DEL TRATAMIENTO y la contraparte que acepta las presentes Condiciones (el “Cliente” en adelante el RESPONSABLE DEL TRATAMIENTO), han celebrado un “Contrato para la prestación de los servicios” (con sus enmiendas puntuales, el “Contrato”).

I. Que el cliente, precisa de los servicios de una empresa que dé soporte de gestión, telemetría y geolocalización de activos, y GALILEO SATELLITE CONTROL SYSTEMS SL es una organización dedicada a la prestación de dichos servicios.

II. Para el correcto cumplimiento de este contrato de prestación de servicios, el ENCARGADO DEL TRATAMIENTO tratará datos de carácter personal del RESPONSABLE DEL TRATAMIENTO.

III. En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 y la Ley Orgánica 3/18 de Protección de Datos y Garantía de Derechos Digitales en España, es intención de las partes establecer las obligaciones y responsabilidades que les corresponden, en el tratamiento de los datos de carácter personal. Las partes se reconocen mutuamente la capacidad legal bastante para suscribir el presente Contrato y quedar obligadas en la representación en que respectivamente actúan.

 

CLÁUSULAS

1. OBJETO DEL TRATAMIENTO.

Mediante las presentes cláusulas se habilita a GALILEO SATELLITE CONTROL SYSTEMS como ENCARGADO DEL TRATAMIENTO, para tratar por cuenta de CLIENTE en calidad de RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifican.

El tratamiento consistirá única y exclusivamente para la prestación de los servicios siguientes:

  • Prestación del servicio para una gestión eficaz de las rutas y localización de flota en tiempo real.
  • Almacenamiento de los datos de localización de los activos en seguimiento.
  • Almacenamiento y gestión de datos personales, cuenta bancaria, firma.

2. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO autoriza al ENCARGADO DEL TRATAMIENTO a tratar la información necesaria que se describe a continuación:

  • Datos identificativos Nombre y Apellidos, DNI, Dirección, Teléfono, Firma, email, Imagen/Voz, datos de geolocalización, número de cuenta bancaria.

Queda terminantemente prohibida la aplicación o utilización de los datos de carácter personal objeto de tratamiento para fines distintos a los aquí previstos, salvo autorización expresa manifestada por escrito por el RESPONSABLE DEL TRATAMIENTO.

Se prohíbe, asimismo, la comunicación de los datos objeto de tratamiento, ni siquiera para su conservación a otras personas, salvo las cesiones legalmente establecidas y las que resulten necesarias para el cumplimiento de las finalidades de la relación contractual.

 

3. DURACIÓN DEL CONTRATO.

El presente acuerdo entrará en vigor a la fecha de su firma. Su rescisión, por cualquier motivo, requerirá notificación fehaciente para no seguir recibiendo, o en su caso prestando, los servicios objeto del encargo.

La duración inicial del presente contrato es anual renovable, con carácter indefinido hasta que cualquiera de las partes lo denuncie, con el plazo de un mes previo a la finalización del periodo anual renovable.

 

4. DEVOLUCIÓN DE LOS DATOS.

Una vez finalice el presente contrato, y previa solicitud expresa del CLIENTE, el ENCARGADO DEL TRATAMIENTO debe devolver al RESPONSABLE DEL TRATAMIENTO a través de su responsable de seguridad o DPO, los soportes con datos personales y suprimir cualquier copia que esté en su poder. Los datos personales a los que tenga acceso el contratante no serán cedidos ni comunicados a terceros ni siquiera para su conservación.

El retorno ha de comportar el borrado total de los datos existentes en los sistemas y documentos del encargado. No obstante, el Encargado de Tratamiento puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades por la ejecución de la prestación.

 

5. OBLIGACIONES PARA EL ENCARGADO DEL TRATAMIENTO Y SU PERSONAL.

Cumplirán los siguientes aspectos:

a. Finalidad:

Usará los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Instrucciones del responsable:

Tratará los datos de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO, e informará inmediatamente al RESPONSABLE DEL TRATAMIENTO, si considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros.

c. Sobre el registro de actividades de tratamiento:

El prestador del servicio, llevará por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas si es necesario según el artículo 30.5 del RGPD. El registro contendrá:

El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y, en su caso, del delegado de protección de datos.

Las categorías de tratamientos efectuados por cuenta de cada responsable.

Las transferencias de datos personales a un tercer país u organismo internacional, indicando el mismo, y en el caso de registro público conforme al art. 49.1 del RGPD, la documentación de garantías adecuadas.

Una descripción general de las medidas técnicas y organizativas de seguridad.

d. No comunicación.

El ENCARGADO DEL TRATAMIENTO no comunicará los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, en los supuestos legalmente admisibles.

Si puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con sus instrucciones. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

e. Transferencia internacional.

Si el ENCARGADO DEL TRATAMIENTO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
f. Subcontratación.
El ENCARGADO DEL TRATAMIENTO se compromete a no subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

Si existe la necesidad de subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista tendrá la condición de ENCARGADO DEL TRATAMIENTO, obligándose a cumplir este documento igual que el ENCARGADO DEL TRATAMIENTO, y siguiendo las instrucciones que le dicte el responsable.

Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

g. Deber de secreto.

El encargado de tratamiento y todo su personal, debe mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

h. Compromisos de confidencialidad por escrito.

El encargado garantizará y mantendrá a disposición del responsable, documentación que acredite que las personas autorizadas a tratar datos personales se comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, informándoles de las mismas.

i. Formación de las personas autorizadas.

El encargado garantizará la formación necesaria en materia de protección de datos personales, de las personas autorizadas para tratar datos personales.

j. Asistencia al Ejercicio de Derechos.

El ENCARGADO DEL TRATAMIENTO, asistirá al RESPONSABLE DEL TRATAMIENTO en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición; limitación del tratamiento, portabilidad de datos, si bien la gestión de los procedimientos de ejercicio de derechos correrá a cargo del RESPONSABLE DEL TRATAMIENTO.

No podrá tomar decisiones individualizadas automatizadas sin permiso del responsable.

El ENCARGADO orientará al titular de los datos para que este los ejercite ante el RESPONSABLE DEL TRATAMIENTO. Cuando las personas afectadas ejerzan cualquier derecho ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la dirección de email del responsable facilitado en este contrato. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k. Sobre el derecho de información.

Corresponde al RESPONSABLE DEL TRATAMIENTO facilitar el derecho de información en el momento de la recogida de los datos.

l. Notificación de violaciones de la seguridad de los datos.

El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través del email facilitado en el encabezamiento, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Se facilitará al RESPONSABLE DEL TRATAMIENTO, la siguiente información sobre la violación, si se dispone de ella:

Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
El nombre y los datos de contacto de la persona que ejerza las funciones de DPO o de seguridad de la información.
Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

m. Comunicación a los interesados.

En caso de que la violación suponga un grave riesgo para los derechos y libertades de las personas físicas, el encargado redactará y enviará al responsable un modelo de comunicado, en lenguaje claro y sencillo, para facilitar a los titulares de los datos.

La comunicación contendrá la misma información que se describe para las violaciones.

n. Apoyo para la realización de evaluaciones de impacto, o consultas previas.

El encargado dará apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos, o en la realización de las consultas previas a la autoridad de control, si proceden.

o. Cumplimiento de las obligaciones.

El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él.

p. Medidas de Seguridad.

Implantar las medidas de seguridad recogidas en el ANEXO MEDIDAS DE SEGURIDAD.

En todo caso, deberá implantar las medidas de seguridad necesarias para:

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
Seudonimizar y cifrar los datos personales, en su caso.
Así como cuantas medidas de seguridad sean exigidas por las leyes y reglamentos destinadas a preservar el secreto, confidencialidad e integridad en el tratamiento de datos personales, con objeto de garantizar la seguridad de los datos de carácter personal y evitar su alteración, tratamiento o acceso no autorizado, así como a adoptar en el futuro.

Asimismo, y con carácter periódico (o cuando haya cambios relevantes en su infraestructura técnica) el ENCARGADO realizará una evaluación de riesgos en materia de seguridad de la información. La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe por el ENCARGADOO, que deberá proporcionarlo al RESPONSABLE. El alcance de dicha evaluación de riesgos de seguridad de la información será la totalidad de datos tratados por cuenta del responsable. Las medidas de seguridad abarcarán la protección de los sistemas de información, así como de los sistemas de tratamiento manual y archivo de la documentación.

El RESPONSABLE DEL TRATAMIENTO podrá solicitar se acredite o verifique mediante la realización de una auditoria, evaluación de impacto, o cualquier otro control que la normativa imponga; en los locales del ENCARGADO DEL TRATAMIENTO, del que resulte que se cumplen todas las medidas de seguridad.

6. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO.
a. Entregar al encargado los datos necesarios para la prestación del servicio.
b. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
c. Realizar las consultas previas que corresponda.
d. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
e. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
f. Informar a los usuarios de los dispositivos de geolocalización cuyo servicio contrata de la existencia y características de estos dispositivos, así como de la posibilidad por parte de estos usuarios del ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión, tal y como establece el artículo 90 de la Ley Orgánica 3/18, de Protección de Datos Personales y Garantía de los Derechos Digitales.
g. Informar a los usuarios de los dispositivos sobre cómo desactivar dichos dispositivos de monitorización fuera de las horas de trabajo e incluso cómo deshabilitar ciertas funcionalidades no indispensables para el trabajo que desarrolle.
h. Desarrollar su actividad de forma lícita, siendo las finalidades legítimas, por lo que GALILEO SATELLITE CONTROL SYSTEMS se exime de cualquier responsabilidad que pudiera surgir por un uso ilegal o indebido de los dispositivos por parte de EL CLIENTE.
7. INCLUMPLIMIENTOS.
El incumplimiento por parte del ENCARGADO de las obligaciones del presente acuerdo comportará que sea considerado RESPONSABLE DEL TRATAMIENTO, respondiendo ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo, o del incumplimiento de la legislación vigente en materia de protección de datos de carácter personal.
8. RESPONSABILIDAD.
Las partes responderán de la totalidad de los daños y perjuicios en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.

Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, en particular: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico o cualquier otra medida excepcional adoptada por las autoridades administrativas o gubernamentales.

9. CONFIDENCIALIDAD.
Las partes garantizan que mantendrán la más estricta confidencialidad y expreso cumplimiento del deber de secreto profesional en relación durante la vigencia de la prestación de servicios y después de su terminación.

El encargado durante y con posterioridad a la vigencia de este acuerdo tratará toda información propiedad del responsable de forma estrictamente confidencial, tomando las medidas necesarias para que su contenido no se divulgue a terceros, ni estos puedan tener acceso a los mismos sin autorización expresa del responsable.

A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.

10. NOTIFICACIONES.
Toda notificación necesaria a los efectos del presente acuerdo se hará por escrito a la atención y dirección de quien consta en el Contrato de prestación de servicios.
11. GENERALIDADES.
a. Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes.
b. Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.
d. Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.
a. La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.
12. LEGISLACIÓN Y JURISDICCIÓN.
El presente acuerdo se rige por las estipulaciones del mismo y en lo no expresamente regulado, por las normas del vigente código de comercio y demás legislación mercantil y civil de la legislación española.

Las partes se someten, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de Málaga, con renuncia a cualquier otro fuero que les correspondiese.

MEDIDAS DE SEGURIDAD
MEDIDAS ORGANIZATIVAS
INFORMACIÓN QUE DEBERÁ SER CONOCIDA POR TODO EL PERSONAL CON ACCESO A DATOS PERSONALES

Todo el personal con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:

– DEBER DE CONFIDENCIALIDAD Y SECRETO

Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a ter-ceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.
No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.
No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.
– DEBER DE CONFIDENCIALIDAD Y SECRETO

Se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta que será el RESPONSABLE DEL TRATAMIENTO el responsable de dar curso al ejercicio de los derechos de los interesados que se pudieran ejercer ante el ENCARGADO DEL TRATAMIENTO.

El RESPONSABLE DEL TRATAMIENTO deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos.

– VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL

Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL, como, por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

MEDIDAS TÉCNICAS
IDENTIFICACIÓN

Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. De-ben mantenerse separados los usos profesional y personal del ordenador.
Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras.
Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contra-señas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
DEBER DE SALVAGUARDA

A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:

ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
MALWARE: En los ordenadores y dispositivos donde se realice el trata-miento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, y prevéngase contra el mismo.