POLÍTICA DE PROTECCIÓN DE DATOS Y USO DE RECURSOS

  1. Datos del Responsable

Responsable: IRSE-EBI EUSKADI

Titular/es: NIF: G48242259

Domicilio: Alameda de Recalde núm. 27, 3º dpto. 7 – 48009 Bilbao (Bizkaia)

Teléfono: 944792316

Correo electrónico: administracion@irse-ebi.org

  1. Objetivos

La presente “Política de Privacidad” tiene como finalidad establecer y dar a conocer las normas internas para la recogida y tratamiento de datos personales de IRSE-EBI EUSKADI con fin de garantizar su confidencialidad, integridad y disponibilidad.

  1. Fundamentos legales

Para la redacción de esta Política se han tenido en cuenta las siguientes normas:

  • Reglamento General de Protección de Datos (EU) 679/2016.
  • Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos Personales. (o la Ley que la sustituya) y su normativa de desarrollo, concretamente el Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo dela Ley Orgánica 15/1999
  • Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
  • Ley 34/2002, de 11 de julio, de Servicios de la Entidad de la Información y Comercio Electrónico
  1. Ámbito de aplicación

La presente Política es de aplicación a todo el personal de la entidad que para el desarrollo de sus funciones acceda a datos personales o información confidencial, es decir, responsables, empleados, autónomos colaboradores, becarios, estudiantes en prácticas en el marco del desarrollo de sus funciones. Así también se aplicará a terceros que desarrollen servicios dentro de la Entidad para la Entidad. Esta Política constituye un documento interno de carácter vinculante para todos. Los empleados podrán plantear sus dudas al responsable sobre el contenido y acceder al Documento de Seguridad para ampliar información sobre aspectos de protección de datos relacionados con sus funciones.

  1. El Delegado de Protección de Datos

Se designa como Delegado de Protección de Datos de IRSE-EBI EUSKADI (en adelante DPO) a don JUAN LUIS FUENTES NOGALES, email: juanluis.fuentes@irse-ebi.org. El DPO es la persona responsable de asesorar a la IRSE-EBI EUSKADI y a sus empleados en materia de protección de datos, y velar por el cumplimiento de la presente política. Los empleados plantearán sus dudas, incidencias y requerimientos al responsable de la Entidad; y éste cuando considere que están relacionadas con Protección de Datos, dará traslado de las mismas al DPO por correo electrónico. Si se trata de cuestiones urgentes, el responsable deberá, además, realizar una llamada telefónica al DPO para asegurarse de la adecuada recepción del correo.

  1. Clasificación de la información

La información de IRSE-EBI EUSKADI se clasifica de acuerdo a los siguientes criterios:

Información Confidencial de uso restringido: Esta categoría engloba la información de mayor sensibilidad. Se considerará confidencial de uso restringido, toda la información conocida por el personal desde el inicio de la relación laboral o mercantil cuya divulgación pueda afectar económica y/o reputacionalmente a IRSE-EBI EUSKADI Se incluyen en esta categoría a modo enunciativo, no limitativo:

  • Cualquier dato que permita identificar a una persona física.
  • Cualquier información relativa a datos económicos y de actividad desarrollada por los clientes.
  • Información sobre empleados (ej. Sus nóminas, contratos laborales).
  • Información sobre curriculum vitae de candidatos y procesos de selección.
  • Información sobre proveedores (ej. Facturación y pedidos).
  • Información contable, financiera, económica, de marketing, comercial, estrategias, proyectos y análisis de resultados contables, know how, auditorías internas.

Información confidencial de Uso Interno: Esta categoría se aplica a información menos sensible, que se pretende sea de uso interno de IRSE-EBI EUSKADI Aunque su difusión a terceros no está autorizada, no se espera que su conocimiento por terceros impacte seriamente en contra de los intereses de la mercantil, sus empleados, sus clientes, y/o sus socios. Se incluyen en esta categoría a modo enunciativo, no limitativo:

  • Políticas y documentos internos. (Ej., la presente Política de Protección de Datos, el Documento de Seguridad)
  • Los Procedimientos internos (Ej. Procedimientos normalizados de trabajo).

Información Pública: Esta categoría se aplica a la información, que ha sido aprobada por IRSE-EBI EUSKADI para mostrarse al público o que se encuentre publicada en fuentes accesibles públicamente. Por definición, no existe difusión no autorizada de esta información y puede ser difundida sin riesgos potenciales. Se incluyen en esta categoría a modo enunciativo, no limitativo: todo aquello que no sea considerado confidencial ni de uso interno.

  1. Normas generales de confidencialidad

El deber de secreto es una exigencia común para todo el personal e implica la prohibición de revelar contenidos confidenciales, teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar la relación laboral o mercantil con IRSE-EBI EUSKADI

El compromiso de confidencialidad estará en correspondencia con la clasificación de la información establecida en el apartado anterior (uso restringido, uso interno, público). La información que sea pública no se protege; la información de uso interno tiene protección limitada al ámbito de IRSE-EBI EUSKADI; la información de uso restringido se trata de forma estrictamente reservada, y solo podrán acceder a ella las personas autorizadas a gestionarlo por razón de puesto o función.

Si un empleado tiene dudas sobre el grado de confidencialidad que debe aplicar a la información tratada, deberá consultar con el Titular/es antes de divulgarla. Los empleados no pueden extraer información de IRSE-EBI EUSKADI sin autorización expresa.

  1. Confidencialidad y datos personales de empleados

De conformidad con el RGPD, IRSE-EBI EUSKADI informa a sus trabajadores sobre los siguientes extremos:

  • Los datos personales que nos faciliten serán conservados para gestionar la relación laboral o mercantil que mantienen con IRSE-EBI EUSKADI, así como realizar acciones de prevención de riesgos laborales, formación profesional y cualquier otra actividad necesaria para su desempeño profesional.
  • Sus datos serán tratados confidencialmente y protegidos mediante la implantación de medidas de seguridad técnicas y organizativas para evitar la pérdida, el acceso no autorizado o la manipulación de dichos datos.
  • Sus datos podrían ser cedidos a administraciones públicas, seguridad social y entidades bancarias u otras entidades públicas en la medida en la que las leyes lo autoricen o sea necesario para gestionar la relación laboral o mercantil establecida.
  • Sus datos serán conservados mientras subsista la relación laboral o mercantil con IRSE-EBI EUSKADI y por 5 años con posterioridad a su finalización a fin de cumplir con las normativas aplicables y con cualquier requerimiento legal o judicial.
  • Con el fin de mantener sus datos permanentemente actualizados, en el caso de producirse alguna modificación en los mismos, debe comunicarlo inmediatamente.
  • Cualquier trabajador podrá ejercitar sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación sobre sus datos personales mediante comunicación escrita dirigida a IRSE-EBI EUSKADI al email administracion@irse-ebi.org, adjuntando fotocopia de su documento de identidad.

Las normas contenidas en la presente Política son obligatorias, y el Trabajador deberá conocerlas y respetarlas.

  1. Confidencialidad y procesos de selección de personal

La obligación de confidencialidad alcanzará también a los procesos de selección de personal. IRSE-EBI EUSKADI establece las siguientes medidas de seguridad para minimizar el riesgo de divulgación no autorizada de esta información:

Recogida de Curriculum Vitae (en adelante CV): Se prohíbe la recogida de CV en papel, ya que esta vía no garantiza nivel adecuado de protección de acuerdo a la sensibilidad de la información que contiene. Se establece como única vía para recepción de CV su envío por email. Todos los candidatos a puestos de trabajo deberán ser informados de que sus CV los deben remitir al correo electrónico de IRSE-EBI EUSKADI

Contestación a CV: Cuando se reciba un CV, deberá contestarse al candidato indicando si sus datos se conservarán, por qué plazo y con qué finalidad, informándosele sobre el ejercicio de derechos que le asisten.

Información sobre resultado del proceso: Cuando se cierre un proceso de selección, deberá contactarse a los candidatos que hayan participado en dicho proceso y no han sido seleccionados, informándosele sobre la decisión de IRSE-EBI EUSKADI sobre si se conservará su CV o si se cancelará definitivamente.

  1. Confidencialidad y Encargados de Tratamiento

Las empresas externas que presten servicios a IRSE-EBI EUSKADI con acceso a datos personales e información confidencial (en adelante Encargados de Tratamiento), tales como gestorías, empresas informáticas, etc. deberán ser seleccionados teniendo en cuenta no solo la calidad del servicio sino también el nivel de cumplimiento de las normativas de protección de datos. En tal sentido, IRSE-EBI EUSKADI deberá solicitar a sus proveedores que acrediten, ya sea mediante certificaciones, adhesión a códigos de conducta, y/o aportación de Políticas de Protección de Datos internas, que cumplen adecuadamente con el RGPD y resto de normas aplicables en materia de Protección de Datos. Se firmarán contratos de confidencialidad con cada Encargado de Tratamiento que contemplen las previsiones del nuevo RGPD.

  1. Confidencialidad y control laboral

El Estatuto de los Trabajadores (ET) en su art. 20 reconoce al empresario la facultad de establecer controles laborales: “podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Las medidas establecidas deben ser proporcionales y respetar la dignidad y derechos de empleado. Resulta vital que se informe a los trabajadores de que existen estas medidas de control, las que son descritas en diferentes apartados de la presente Política. Los usuarios de los sistemas de información (trabajadores) son conscientes de que IRSE-EBI EUSKADI podría establecer medidas tales como la monitorización y control sobre sus propios recursos, para ejercer el debido control laboral.

  1. Confidencialidad y Videovigilancia

En IRSE-EBI EUSKADI no existen cámaras de Videovigilancia

  1. Prohibición general de uso de los recursos para fines privados

Los sistemas de información y recursos que IRSE-EBI EUSKADI ponga a disposición de su personal, tales como ordenadores, correo electrónico, móviles corporativos, navegación por internet, programas informáticos, etc., son propiedad de IRSE-EBI EUSKADI y están destinados al uso estrictamente laboral, no privado. En consecuencia, estos recursos no deben usarse en beneficio personal, o de ninguna manera que pudiera considerarse inapropiada de acuerdo con esta Política. Cualquier uso puntual con fines privados que se vaya a realizar de los recursos de IRSE-EBI EUSKADI, requerirá autorización expresa. Cualquier información personal, documento privado, imágenes, archivos personales, información de navegación u otro dato personal que los empleados almacenen en soportes de IRSE-EBI EUSKADI, además de constituir un incumplimiento de la presente Política, no estará dentro del ámbito de su privacidad, puesto que se le ha informado previamente que los recursos pueden ser monitorizados y controlados, por lo que no existe expectativa de privacidad sobre contenidos personales indebidamente almacenados.

  1. Normas para el correcto uso del correo electrónico

Si IRSE-EBI EUSKADI facilita a sus trabajadores una cuenta de correo electrónico corporativa, deberá respetar las siguientes normas:

  • Este correo es el único autorizado para el recibo y envío de comunicaciones.
  • El uso del “disclaimer” o clausula limitativa de responsabilidad en la firma del email corporativo es obligatorio.
  • El correo electrónico no debe usarse para el envío de mensajes que contengan datos de carácter personal que no cuenten con el nivel de protección establecido.
  • Los correos electrónicos que se remitan a varios destinatarios deben llevar en “copia oculta” todas las direcciones de email.
  • No debe abrirse ningún correo electrónico de naturaleza sospechosa, en especial si trae adjuntos, ya que pueden constituir virus.
  • Con objeto de asegurar la continuidad de la actividad, cuando finalice la relación laboral o mercantil de un empleado, antes de proceder a la baja de su cuenta de correo, ésta podrá desviarse al correo del Titular/es durante un período máximo de 3 meses para poder dar solución a cualquier pedido o incidencia.

Queda prohibido compartir cuentas y claves de correo electrónico entre el personal, o con terceros, salvo requerimiento o autorización de IRSE-EBI EUSKADI.

  1. Normas para el correcto uso de internet y redes

Si IRSE-EBI EUSKADI pone a su disposición redes que permitan conexión a internet, deberá respetar las siguientes normas:

  • Éstas redes serán las autorizadas para la navegación. La conexión a redes wifi desconocidas pone en riesgo la seguridad de la información.
  • Se prohíbe el acceso a la conexión a Internet de IRSE-EBI EUSKADI de cualquier usuario o elemento no autorizado.
  • IRSE-EBI EUSKADI podría establecer sistemas de registro de la actividad de navegación Web y limitar el acceso a páginas web potencialmente dañinas para el desarrollo del negocio o que entren en conflicto con esta Política.
  • Se prohíbe el acceso a páginas webs contrarias a la buena fe, o con contenido ilegal, tales como: material pornográfico, racista, violento, difamatorio, o de cualquier naturaleza ilegal o que pueda ser considerado ofensivo por otros usuarios.
  • Se prohíbe el acceso y la descarga de material protegido por derechos de propiedad intelectual, industrial o derechos de autor.

Se prohíbe realizar compras personales, suscripción a newsletters, o cualquier acción pueda perjudicar a IRSE-EBI EUSKADI.

  1. Normas para el correcto uso de los puestos de trabajo

Los empleados que desarrollen sus funciones en mesas, escritorios, mostradores, despachos, etc., deberán garantizar que la documentación queda debidamente almacenada y no puede ser visualizada por clientes, pacientes o terceros. Las pantallas de ordenador no pueden estar de cara al público y una vez concluida las funciones deben quedar bloqueadas o apagadas, para reducir el riesgo de utilización inadecuada, robo, alteración o destrucción. Es responsabilidad del empleado custodiar y administrar los documentos y medios de trabajo.

  1. Normas para el correcto uso de soportes informáticos

Si IRSE-EBI EUSKADI le facilita para el desarrollo de sus funciones soportes informáticos tales como: ordenarles, portátiles, pendrives, cd, discos externos, etc., deberá respetar las siguientes normas:

  • Es obligatorio el uso de contraseñas y usuarios diferenciados en todos los soportes informáticos.
  • No pueden sacarse los soportes sin autorización de IRSE-EBI EUSKADI
  • El empleado es responsable de su cuidado y custodia.
  1. Consentimiento para el tratamiento de datos personales

Deberán recabarse y conservarse exclusivamente los datos indispensables para la prestación de las actividades legalmente autorizadas en IRSE-EBI EUSKADI. Se debe solicitar el consentimiento escrito a clientes para el tratamiento de sus datos en los siguientes casos:

  • Cesión de datos de clientes a colaboradores externos de IRSE-EBI EUSKADI
  • Cualquiera otra actividad que implique recogida de datos y/o un seguimiento personalizado, salvo que se realice por mandato legal.

Constan modelos para solicitud de consentimiento en el Documento de Seguridad a disposición del personal. Si va a realizar alguna actividad de tratamiento de datos, consulte al titular/es sobre la obligatoriedad o no de recabar consentimiento. El titular a su vez, deberá consultar al DPO y solicitarle el modelo correspondiente.

  1. Derecho de los interesados

Los titulares de datos personales pueden ejercitar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento que le asisten frente a IRSE-EBI EUSKADI por vías sencillas y gratuitas. En el Documento de Seguridad consta información detallada sobre cada derecho, así como modelos para su ejercicio. Estos modelos podrán facilitarse a los interesados a fin de que realicen su solicitud por escrito en IRSE-EBI EUSKADI acompañando siempre una copia de su documento de identidad. En todo caso IRSE-EBI EUSKADI deberá contestar en el plazo máximo de 10 días hábiles a la solicitud de derechos realizada por el interesado.

El empleado que reciba una solicitud de derechos debe dar traslado urgente de la misma al Titular, y éste a su vez trasladarla al DPO, quien confeccionará la respuesta y la remitirá al interesado a la mayor brevedad posible, dentro del plazo máximo de 10 días hábiles.

  1. Plazos de conservación y destrucción de la información

La documentación que deje ser necesaria para IRSE-EBI EUSKADI deberá ser destruida en condiciones de seguridad, salvo que exista una norma con rango de ley que obligue a su conservación. A continuación, le indicamos algunos plazos legales de conservación que deberá respetar:

  • Documentos contables y financieros (Facturas, contratos): 5 años
  • Documentos laborales (nóminas, contratos de trabajo): 5 años
  • Modelos de consentimiento: 3 años desde la última actividad de tratamiento de datos.

Se cancelará la información al vencimiento de los plazos indicados, salvo que deba conservarse a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de la Agencia Española de Protección de Datos (en adelante AGPD), para la exigencia de posibles responsabilidades. Para la destrucción de información, IRSE-EBI EUSKADI pondrá a disposición del personal “bandejas de destrucción”, en las que los empleados depositarán los documentos y/o soportes que deban ser destruidos por contener información confidencial o de uso interno. IRSE-EBI EUSKADI procederá a la destrucción de estos documentos/soportes ubicados en las bandejas, a través de destructora de papel u otro medio que garantice la confidencialidad.

  1. Acceso a la información y contraseñas

Solo accederán a información confidencial aquellos empleados autorizados que lo requieran para sus funciones. En el Documento de Seguridad constará un listado actualizado de usuarios autorizados a acceder a los sistemas de información. Dichos usuarios se identificarán con usuario y contraseña para acceso a información automatizada. Si la IRSE-EBI EUSKADI le facilita una contraseña inicial, ésta debe cumplir las siguientes normas:

  • Se recomienda que tengan 6 caracteres, evitando elegir contraseñas que se puedan asociar fácilmente con el usuario, como fecha de nacimiento, DNI, etc.
  • La contraseña es estrictamente confidencial y el usuario es responsable de protegerla.
  • Deben renovarse anualmente, o cuando sospeche que pueda ser conocida por otro.
  • Debe existir un número máximo de intentos de acceso, y bloqueo superado el máximo.

IRSE-EBI EUSKADI podrá en cualquier momento variar la contraseña establecida por el trabajador como parte de la monitorización de los sistemas.

  1. Copias de seguridad

Se debe realizar copia de seguridad de la información confidencial como mínimo semanalmente en soporte externo (ej. en la nube, servidores externos, pendrives, discos externos) que cumplan las debidas medidas de seguridad (ej. cifrado, contraseñas, encriptación). No obstante, se recomienda realizar copia de seguridad diaria de aquella información de vital importancia para el negocio.

  1. Delitos informáticos y medidas de prevención.

Los empleados deben conocer que existen prácticas ilegales relacionadas con las nuevas tecnologías que pueden afectar gravemente a IRSE-EBI EUSKADI (Ej. virus informáticos, robo de información, usurpación de identidad). Todo el personal de IRSE-EBI EUSKADI estará alerta, y cumplirá con las siguientes normas:

  • Actualizar de forma regular el sistema operativo y las aplicaciones de uso frecuente, en particular Java, Adobe, y Office.
  • Utilizar antivirus actualizado, e instalar firewall.
  • Desconfiar de los mensajes cortos y extraños que puedan recibirse. Los adjuntos de correos sospechosos no deberán abrirse, ya que incluso si provienen de contactos conocidos pueden resultar peligrosos.
  • Si se dispone de un router inalámbrico para conectarse a internet, se deberán cambiar las contraseñas por defecto y establecer una más segura. No utilizar el cifrado WEP, es vulnerable. Si es posible, configure el router para que solo se puedan conectar al mismo determinados ordenadores.
  • Cuando se soliciten informaciones confidenciales por correo electrónico se deberá corroborar, por vías alternativas, que la solicitud es legítima y remitida efectivamente por persona autorizada a recibir esta información.
  1. Respuesta ante incidentes de seguridad

Se considerará “incidente de seguridad”: cualquier difusión, eliminación, destrucción, modificación, interrupción o acceso o no autorizado a la información. IRSE-EBI EUSKADI ha establecidos medidas de prevención frente a incidencias de seguridad, pero el riesgo de que dichos incidentes puedan presentarse nunca podrá reducirse a cero. Por tanto, todo el personal es responsable de informar sobre cualquier incidente de seguridad que detecte al Titular/es, y éste último deberá informar al DPO, quién coordinará las actividades oportunas de respuesta.

  1. Notificación de Incidencias a la AGPD y a los afectados

IRSE-EBI EUSKADI documentará cualquier incidente que constituya violación de la seguridad de los datos personales, dejando constancia de ello en el Documento de Seguridad, poniéndolo en conocimiento del DPO, sin dilación alguna. De acuerdo con lo establecido en el RGPD, cuando se produzca una violación de la seguridad de los datos personales, IRSE-EBI EUSKADI deberá notificar a la AGPD dicha violación a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para las personas físicas, sean clientes, trabajadores o cualquier otra persona, IRSE-EBI EUSKADI también lo comunicará al interesado.

  1. Régimen disciplinario por incumplimientos

Se aplicarán las medidas disciplinarias por incumplimiento de la presente política de acuerdo con lo dispuesto por el Estatuto de los Trabajadores y el Convenio Colectivo que resulte aplicable. El incumplimiento de normas internas de la organización, contenidas en la presente Política, podrá ser considerado un acto de desobediencia, en correspondencia con el art. 54.2 b) del Estatuto, pudiendo ser causa de despido disciplinario. En caso de que el incumplimiento se lleve a cabo por un tercero que se haya comprometido previamente a la observancia de las normas contenidas en la Política, las sanciones comprenderán la suspensión o finalización de la relación comercial con dicho tercero, sin perjuicio de las acciones legales que puedan emprenderse.

  1. Distribución de la Política

La presente Política se mantendrá impresa en el Documento de Seguridad de IRSE-EBI EUSKADI, y se permitirá el acceso de sus empleados a la misma. IRSE-EBI EUSKADI podrá entregar una copia a cada empleado y/o remitirla al correo corporativo o al correo personal de cada empleado para su lectura y conocimiento. En todo caso, el empleado devolverá el “recibí” firmado, acreditando que ha recibido dicha Política y que se compromete al cumplimiento de todo lo dispuesto en la misma.

En Bilbao, a 24 de abril de 2018