Protección de Datos

PRINCIPIOS DEL TRATAMIENTO DE LOS DATOS PERSONALES          

MAINAKE SEGURA SL con CIF/NIF B93135168 , y dirección en C/ JOSE PALANCA Nº18 LOCAL 6,

MALAGA (29003), es responsable de los tratamientos de datos de carácter personal que realiza.

MAINAKE SEGURA SL aplica el principio de responsabilidad activa en el tratamiento de sus datos de carácter personal, manteniendo una constante puesta al día y una promoción de la mejora continua del sistema de protección de datos. Mantiene toda la documentación y los registros a disposición de la autoridad de control y de los encargados del tratamiento aportando las evidencias que demuestren su firme compromiso con la protección de los datos de carácter personal.

Los principios por los que se rige MAINAKE SEGURA SL y que regulan cómo se deben tratar los datos personales responsabilidad de la misma son:

  • Licitud, lealtad y transparencia: los datos personales se tratan de forma lícita, leal y transparente, de manera que el interesado conozca el tratamiento que, en su caso, se va a hacer de sus datos.
  • Limitación de la finalidad: los datos personales solo se recogen con fines determinados, explícitos y legítimos y no se usan posteriormente de manera incompatible con dichos fines.
  • Minimización de datos: los datos personales son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Solo son objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para la que se recojan o traten y adecuados a tal finalidad.

  • Exactitud: los datos personales son exactos y, si fuera necesario, actualizados. Se toman todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos, con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: los datos personales se mantienen de forma que se permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales
  • Integridad y confidencialidad: los datos personales son tratados de tal manera que se garantice una seguridad adecuada de estos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, utilizando las medidas técnicas u organizativas adecuadas.

Los datos personales recabados y tratados por la empresa son conservados con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos de los que justificaron y permitieron su recogida y sin que puedan ser comunicados o cedidos a terceros fuera de los casos permitidos por la legislación aplicable.

  • Protección de datos personales desde el diseño y por defecto: la empresa aplica las medidas técnicas y organizativas apropiadas, en función del riesgo de la acción, desde el diseño de la misma y por defecto.
  • Evaluación de riesgo e impacto en materia de protección de datos personales: cuando una actividad conlleve el tratamiento de datos personales que pueda suponer un riesgo elevado para los derechos y libertades del interesado, en la medida y forma en que la normativa lo exija, MAINAKE SEGURA SL llevará a cabo una evaluación de riesgos e impacto en la protección de los datos personales y privacidad antes del inicio del tratamiento.
  • Gestión de incidentes de seguridad de los datos personales: en caso de que se produzca un incidente que afecte a la seguridad de los datos personales, se seguirán los procedimientos corporativos de seguridad de la información de la empresa, así como aquellos específicos de protección de datos personales y privacidad que incluyan la gestión de las notificaciones a autoridades y/o interesados.
  • Derechos de los interesados: la empresa garantiza que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición que sean de aplicación en cada jurisdicción, estableciendo a tal efecto la normativa interna que resulte necesaria para cumplir, al menos, los requisitos exigidos por la normativa en cada caso.
  • Contratación de encargados del tratamiento. Con carácter previo a la contratación de cualquier encargado del tratamiento que acceda a datos personales que sean responsabilidad de la empresa, así como durante la vigencia de la relación contractual, ésta adopta las medidas necesarias para garantizar y, cuando sea legalmente exigible, demostrar, que el tratamiento de datos por parte del encargado se lleva a cabo conforme a la normativa aplicable.

En los casos en que los encargados del tratamiento puedan tener acceso a los datos personales de los cuales es responsable MAINAKE SEGURA SL:

  • dicho acceso se limita únicamente a los datos personales estrictamente necesarios
  • se elige diligentemente al encargado del tratamiento. En particular, se tiene en cuenta las medidas de seguridad técnicas y organizativas proporcionadas
  • se regula debidamente la relación entre la empresa y el encargado del tratamiento , a través de las cláusulas contractuales adecuadas para el tratamiento de datos personales.
  • Transferencias internacionales de datos: la empresa cumple con los requisitos establecidos para las transferencias internacionales de datos personales que sean, en su caso, aplicables en los mercados en los que opera.
  • Registro de actividades de tratamiento: la empresa se responsabiliza de llevar un registro en el que se describa, de acuerdo con la normativa aplicable, los tratamientos de datos personales que se lleven a cabo en el marco de las actividades de la empresa.
  • Delegado de protección de datos: En los casos previstos en la ley, se designará a un delegado de protección de datos con el fin de garantizar el cumplimiento de la normativa de protección de datos en la empresa, y pondrá a disposición de los interesados y las autoridades sus datos de contacto.

 ALCANCE y ÁMBITO DE APLICACIÓN                                                                                                                                

MAINAKE SEGURA SL está establecida en España y realiza, para el ejercicio de sus actividades, el tratamiento de datos de carácter personal de ciudadanos residentes en la Unión Europea. Es responsable del tratamiento de los datos personales. En representación legal actúa JAVIER JIMENEZ GUTIERREZ con DNI 06697855W.

Las actividades desarrolladas se pueden resumir en las siguientes: OTRAS ACTIVIDADES.

Para el desarrollo de sus actividades la organización cuenta con los siguientes centros:

Los corresponsables del tratamiento, cuando existan, determinan de modo transparente y de mutuo acuerdo las responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento (UE) 2016/679 y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El contenido del acuerdo se encuentra en el ACUERDO DE ‘CORRESPONSABILIDAD’ DEL TRATAMIENTO DE LOS DATOS.

Las actividades de tratamiento realizadas por la organización se recogen en el Registro de Actividades de Tratamiento de la presente política de protección de datos. En el citado registro queda recogido el ámbito territorial de cada una de las actividades. El contenido del Registro de actividades de tratamiento se encuentra recogido en los ANEXOS EXTERNOS: Registro de Actividades de Tratamiento.

PaCraLeIlEcuNmTplEimiento de las obligaciones como encargado del tratamiento, cuando se traten datos por cuenta de terceros y en virtud del art. 28 del Reglamento (UE) 2016/679 y del art.33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se estará a

lo dispuesto por las cláusulas contractuales que se añaden al contrato de prestación de servicios. En cuanto al sistema de tratamiento y/o almacenamiento de datos, la organización realiza:

  • Tratamiento automatizado de datos personales (Digital / Informática). Datos que son tratados de manera automatizada o mecanizada, es decir, en formato electrónico o digital mediante sistemas informáticos.
  • Tratamiento no automatizado de datos personales (Manual / Papel). Datos que son tratados de manera manual, sin ningún sistema automatizado, es decir, los datos que se tratan exclusivamente en formato papel

 BASES DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS                                                                                                           

Identificación de la base legal sobre la que se desarrolla el tratamiento

El Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) conserva el principio establecido en la Directiva 95/46 en virtud del cual todo tratamiento de datos personales debe apoyarse en una base jurídica que lo legitime.

Establece, como regla general, que los datos personales deben ser tratados con el consentimiento del interesado, pero admite cualquier otra base legítima conforme a Derecho: relación contractual, intereses vitales del interesado o de terceros, obligación legal para el responsable, interés público, etc.

Teniendo en cuenta el principio general de ‘responsabilidad proactiva’, es un requisito apoyar el tratamiento de los datos en una base que lo legitime. Se tiene documentado el interés legítimo en el que se fundamenta cada actividad de tratamiento y así lo establece el Registro de Actividades de Tratamiento.

Asimismo, teniendo en cuenta el principio de transparencia y de información, la organización proporciona la base legal del tratamiento a todos los interesados como se indica en el apartado correspondiente de la presente política.

Licitud basada en el contrato de prestación de servicios

El tratamiento de los datos personales necesarios para la correcta prestación de los servicios acordados contractualmente fija la base jurídica necesaria para efectuar dicho tratamiento. Sólo se recaba el consentimiento de los interesados si las finalidades son distintas a las acordadas contractualmente.

Licitud basada en el consentimiento

El consentimiento del interesado podrá ser escrito, por medios electrónicos o por voz (según prioridad de la organización y modo habitual de comunicación), conservando los registros a disposición de la autoridad de control. Se dispone de los contenidos necesarios para recabar el consentimiento de los interesados.

El consentimiento en el caso de menores de 14 años

El artículo 8 del Reglamento (UE) 2016/679 y el art.7 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece nuevas pautas sobre el consentimiento de los menores de edad en el tratamiento de sus datos personales con el fin de aumentar la privacidad de la información.

El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.

Licitud basada en una obligación legal

El tratamiento de los datos personales necesarios para el cumplimiento de las obligaciones legales fija su base jurídica en las normas establecidas.

La organización trata los datos de carácter personal de sus empleados como consecuencia inevitable y necesaria de la relación laboral, y actuaría de forma engañosa si intentara legitimar este tratamiento a través del consentimiento. Por lo tanto la organización no basa el tratamiento de los datos de carácter personal de sus empleados en el consentimiento, sino que emplea el contrato laboral como base jurídica.

Para el tratamiento de datos con una finalidad distinta al cumplimiento de una obligación legal (como el contrato laboral o la comunicación con la administración tributaria o con la seguridad social) se estará a lo dispuesto en el apartado anterior (consentimiento).

Licitud para el tratamiento de los datos que no han sido recabados directamente de los interesados

En el caso que se traten datos de carácter personal que no han sido recabados directamente de los interesados, se garantiza que los derechos y libertades de los interesados prevalecen sobre los intereses legítimos perseguidos por la organización, por ejemplo para el envío de publicidad. Asimismo se garantiza que la fuente de obtención de los datos es una fuente de acceso público y que los interesados no están inscritos en la Lista Robinson.

TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS                                                                                                           

El Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establecen en el art. 9 las categorías especiales de datos refiriéndose a los datos sensibles que precisan una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas y les aplica disposiciones específicas cuando su tratamiento pueda entrañar altos riesgos en la protección de datos.

El Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece por defecto la prohibición del tratamiento de estas categorías de datos con excepciones específicas para cuando el interesado haya dado su consentimiento explícito o en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

También determina que se podrán tratar datos sensibles cuando exista un interés público fundamentado en la legislación vigente de cada país de la UE, por ejemplo en el ámbito laboral, protección social, pensiones, sanidad u otras amenazas graves para la salud.

Como excepción a la prohibición por defecto expuesta en el apartado anterior, la organización sólo trata categorías especiales de datos cuando:

  • El interesado haya dado su consentimiento explícito para fines específicos (excepto si está prohibido por la legislación vigente).
  • Es necesario para proteger los intereses vitales del interesado, cuando está incapacitado para dar su consentimiento.
  • El tratamiento lo realiza legítimamente una organización sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical con relación a sus fines.
  • El interesado ha hecho manifiestamente públicos sus datos.

O cuando el tratamiento está fundamentado en la legislación vigente:

  • Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional.
  • Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico incluida la evaluación de la capacidad laboral del trabajador.
  • Para procedimientos judiciales.
  • Es necesario para cumplir la legislación laboral, o la de seguridad o protección social o la de convenios colectivos.
  • Es necesario por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria.
  • Es necesario para fines de archivo en interés público en investigaciones científicas, históricas o estadísticas.

La organización realizará tratamiento de datos basado en una elaboración de perfiles que contemple la confección de decisiones individuales basadas en un tratamiento automatizado destinado a evaluar aspectos personales o analizar o predecir datos de salud, cuando el interesado ha dado su consentimiento para fines específicos permitidos por la legislación vigente o el tratamiento se realice para fines de interés público o bajo la supervisión de poderes públicos, fundamentados en la legislación vigente.

Cuando la organización pretenda realizar tratamientos que puedan afectar a los derechos fundamentales de las personas afectadas se determinará a través del análisis de riesgos la existencia o no de riesgos inherentes al tratamiento que se desea realizar. En caso de no poder reducir los riesgos a límites tolerables será necesaria la realización de una evaluación de impacto tal como se determina en el apartado correspondiente.

Determinados tratamientos requieren la designación de un delegado de protección de datos. La organización mantendrá un delegado de protección de datos en su caso, informando sobre el mismo, identificación y contacto, a todos los interesados.

 TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS.  

El Reglamento (UE) 2016/679 recoge que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten, como en las respuestas a los ejercicios de los derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Según la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, la información básica que se facilita a los interesados comprende:

  1. La identidad del responsable del tratamiento y de su representante, en su
  2. La finalidad del
  3. La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si existe elaboración de perfiles o se elaboran decisiones automatizadas se facilita igualmente esta información.

Cuando los datos personales no han sido obtenidos del afectado, se facilita a los interesados la información básica anterior junto con un enlace que les permite acceder a toda la información de las actividades de tratamiento de la organización, incluyendo las categorías de datos objeto de tratamiento, así como las fuentes de las que proceden los datos.

Los datos de carácter personal podrán ser cedidos, previa autorización del interesado previo análisis de la cesión (las cesiones pueden estar basadas en requisitos legales o contractuales o en un requisito necesario para suscribir un contrato)

La existencia de decisiones automatizadas y elaboración de perfiles o la decisión de adoptarlas estarán sujetas al correspondiente análisis de riesgos y a una evaluación de impacto en caso de que los riesgos no hayan podido ser reducidos a límites aceptables.

Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se procede a realizar un análisis de los riesgos. Si el riesgo es aceptable se tratarán los datos con la nueva finalidad, siempre bajo una base legal y se incluirá en la información que se facilita a los interesados.

La información que se facilita a los interesados se recoge en los documentos INFORMACIÓN Y CONSENTIMIENTO.

Si los datos personales se utilizan para establecer comunicación con el interesado, se le comunica la información a que tiene derecho en el momento de la primera comunicación y si está previsto comunicar los datos a otro destinatario, se le comunica la información a más tardar en el momento en que los datos personales son comunicados por primera vez.

No es necesario informar a los interesados cuando ya disponen de la información, cuando la comunicación de dicha información resulta imposible o supone un esfuerzo desproporcionado, cuando la información imposibilita u obstaculiza el logro de los objetivos del tratamiento, cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables, o cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional.

Se han evitado fórmulas especialmente farragosas y se emplea un vocabulario que facilita la comprensión por parte de cualquier interesado.

Las cláusulas informativas explican el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

La información a los interesados se facilita por escrito, incluidos los medios electrónicos, incluso se facilita verbalmente, previa acreditación de la identidad del interesado.

 DERECHOS DE LOS INTERESADOS                                                                                                           

Procedimiento para el ejercicio y obligaciones para el responsable.

Con carácter general, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) exigen a los responsables que faciliten a los interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. El Reglamento (UE) 2016/679 no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.

MAINAKE SEGURA SL garantiza que el ejercicio de estos derechos es gratuito para el interesado, siempre que las solicitudes no sean manifiestamente infundadas o excesivas, especialmente por repetitivas, correspondiendo al responsable de la organización demostrar el carácter infundado o excesivo de las solicitudes, pudiendo en estos casos el responsable cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar.

Se informará al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo se notifica dentro del primer mes. Si el responsable decide no atender la solicitud, debe informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

Se toman todas las medidas razonables para verificar la identidad de quienes ejerzan los derechos reconocidos en el Reglamento (UE) 2016/679, a través del requerimiento del documento nacional de identidad o documento equivalente que acredite la identidad del interesado. Asimismo mantiene un REGISTRO DE EJERCICIOS DE LOS DERECHOS donde se recogen y se mantiene un control de todos los ejercicios de los derechos solicitados por los interesados.

Para el ejercicio de los derechos a través de solicitudes la organización facilita a los interesados que deseen ejercitar sus derechos los modelos correspondientes y concretados en los puntos siguientes:

Derecho de acceso

El derecho de acceso viene regulado en al art. 15 del Reglamento (UE) 2016/679 y en el art.13 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En los considerandos 63 y 64, se recoge como un derecho del interesado a obtener, del responsable del tratamiento, confirmación de si se están tratando o no datos personales que le conciernen.

Para atender los derechos de acceso de cualquier interesado MAINAKE SEGURA SL le facilita un modelo de solicitud adecuado, modelo recogido en el Anexo Externo SOLICITUD DE ACCESO A DATOS.

El interesado que solicite este derecho y que se identifique convenientemente obtendrá de la organización la debida respuesta mediante un documento informativo (modelo recogido en el Anexo Externo RESPUESTA AL EJERCICIO DEL DERECHO de ACCESO).

Si la empresa trata una gran cantidad de datos relativos al interesado y ejercita el derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, la organización podrá solicitarle, antes de facilitarle la información, que el interesado especifique los datos o actividades del tratamiento a los que se refiere la solicitud.

Si la respuesta al derecho de acceso se remitiera por correo, al solicitante del derecho se le remitirá el documento de respuesta mediante carta con acuse de recibo, burofax o cualquier otro medio que acredite el envío y la recepción.

Si la respuesta es estimatoria, la información incluirá los datos personales del interesado que son objeto de tratamiento, los fines del tratamiento, las categorías de datos personales tratados así como los destinatarios o categorías de destinatarios a los que se comunican o serán comunicados los datos, además de cualquier información disponible sobre el origen de los datos, el plazo previsto de conservación de los mismos o, de no ser posible, los criterios utilizados para determinar este plazo, así como el derecho a presentar una reclamación ante una autoridad de control. Asimismo, se indicará al interesado la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.

Derecho de rectificación

El derecho de rectificación viene recogido en el artículo 16 del Reglamento (UE) 2016/679 y en el art. 14 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por el que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

El interesado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya que realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos personales objetos del tratamiento.

En el caso que los datos del interesado sean incompletos o inexactos, la organización garantiza la actualización de los mismos sin dilación indebida.

El interesado puede solicitar el derecho de rectificación de sus datos mediante el modelo de solicitud que se acompaña en el Anexo Externo SOLICITUD DE RECTIFICACIÓN DE DATOS.

Una vez rectificados los datos la organización informará al interesado sobre la rectificación llevada a cabo (Anexo Externo RESPUESTA AL EJERCICIO DE LOS DERECHOS).

Derecho a la limitación del tratamiento

El derecho a la limitación del tratamiento viene regulado en el art. 18 del Reglamento (UE) 2016/679 y el art. 16 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y establecen el derecho a que los datos sean limitados a petición del interesado

El interesado puede solicitar el derecho a la limitación de sus datos mediante el modelo de solicitud que se acompaña en el Anexo Externo SOLICITUD DE LIMITACIÓN DEL TRATAMIENTO DE DATOS.

La organización en respuesta puede proceder a la limitación del tratamiento de los datos del interesado si concurre alguna de las circunstancias siguientes:

  • cuando el interesado impugna su exactitud, se limita el tratamiento durante el plazo necesario para verificar la exactitud de los datos.
  • cuando el tratamiento de los datos es ilícito pero el interesado se opone a la supresión de sus datos
  • cuando los datos ya no son necesarios para las finalidades de la organización pero si son necesarios para el interesado (reclamaciones, etc…)
  • cuando el interesado se opone al tratamiento mientras se verifica si los intereses legítimos de la organización prevalecen sobre los del interesado.

Para la limitación de los datos, la organización seguirá alguno de los siguientes métodos:

  • trasladará temporalmente los datos seleccionados a otro sistema de tratamiento.
  • impedirá el acceso de usuarios a los datos personales seleccionados.
  • retirará temporalmente los datos publicados de un sitio internet.
  • indicará claramente en el sistema (fichero automatizado) que los datos que se pretenden tratar encuentra limitado su tratamiento.

En los casos en los que la organización proceda a la limitación del tratamiento, los datos del afectado sólo podrán ser objeto de tratamiento:

  • para su conservación.
  • con el consentimiento del interesado.
  • para la formulación, el ejercicio o defensa de reclamaciones.
  • para la protección de los derechos de la persona física o jurídica.
  • por razones de interés público de la UE o Estados miembros.

Una vez limitados los datos se informará al interesado justificando su decisión (Anexo Externo RESPUESTA AL EJERCICIO DE LOS DERECHOS) así como la limitación llevada a cabo.

Igualmente se informará cuando se levante la limitación al tratamiento.

Derecho de supresión / derecho al olvido

El art. 17 del Reglamento (UE) 2016/679 y el artículo 15 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales indican que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.

El interesado puede solicitar el derecho de supresión/derecho de olvido de sus datos mediante el modelo de solicitud que se acompaña en el AnexoExterno SOLICITUD DE SUPRESIÓN/DERECHO AL OLVIDO.

La organización procede a la supresión del tratamiento de los datos del interesado cuando concurra alguna de las circunstancias siguientes:

  • los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos.
  • el interesado retira el consentimiento en que se basa el tratamiento y no se base en otro fundamento jurídico
  • el interesado se opone al tratamiento (derecho de oposición).
  • los datos personales se han tratado de forma ilícita.
  • los datos personales se suprimen para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento.
  • los datos personales se han obtenido en relación con la oferta directa a niños de servicios de sociedad de la información.

La organización no procede a aceptar las peticiones de supresión del interesado cuando el tratamiento sea necesario en los siguientes supuestos:

  • para ejercer el derecho a la libertad de expresión e información.
  • para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la UE o de los Estados miembros que se aplique al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • por razones de interés público en el ámbito de la salud pública.
  • con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • para la formulación, el ejercicio o la defensa de reclamaciones.

La organización informa sin dilación del carácter estimatorio o desestimatorio del derecho solicitado por el interesado, así como la supresión llevada a cabo. Modelo Anexo Externo RESPUESTA AL EJERCICIO DE LOS DERECHOS.

Derecho de oposición

El derecho de oposición viene regulado en el art. 21 del Reglamento (UE) 2016/679 y en el art.18 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Podemos decir que es el derecho del interesado a oponerse, en cualquier momento, por motivos legítimos y fundados relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamiento.

Para atender el derecho de oposición de cualquier interesado MAINAKE SEGURA SL facilita un modelo de solicitud adecuado, modelo recogido en el Anexo Externo SOLICITUD DE OPOSICIÓN.

Cuando el interesado ejercite el derecho de oposición, MAINAKE SEGURA SL dejará de tratar dichos datos personales, realizando un análisis con el fin de considerar si prevalece o no el derecho del interesado sobre los intereses legítimos de la organización. Para tal fin se analizará pormenorizadamente la situación, los motivos y

la CdoLcuIEmeNntTacEión aportada por el interesado.

Si existen motivos legítimos que justifiquen el tratamiento (por ejemplo para la formulación, el ejercicio o la defensa de reclamaciones) se seguirán tratando los datos, aunque se atienda la solicitud del interesado, pudiendo desestimarse.

La organización informa sin dilación del carácter estimatorio o desestimatorio del derecho solicitado por el interesado. Modelo Anexo Externo RESPUESTA AL EJERCICIO DE LOS DERECHOS.

Derecho de portabilidad

El art. 20 del Reglamento (UE) 2016/679 y el artículo 17 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, recogen que los usuarios tienen un nuevo derecho, el derecho a la portabilidad. Este derecho complementa al derecho de acceso, ya que permite a los interesados obtener los datos que se han proporcionado en un formato estructurado, de uso común y de lectura mecánica.

El derecho a la portabilidad también implica que los datos personales del interesado podrán transmitirse directamente de una entidad o organización a otra, sin necesidad de ser entregados al propio interesado, siempre que ello sea técnicamente posible.

El Reglamento abre así la posibilidad no sólo de obtener los datos y reutilizarlos, sino también de transmitirlos a otro proveedor de servicios. Por tanto, el interesado tendrá la opción de solicitar sus datos o la transmisión de los mismos directamente de una entidad a otra.

La organización garantiza el ejercicio del derecho a la portabilidad del interesado mediante un modelo de solicitud adecuado, modelo recogido en el Anexo Externo SOLICITUD DE PORTABILIDAD.

Una vez solicitado el derecho, se remiten al interesado todos aquellos datos personales que le incumban y que haya facilitado, siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados.

Asimismo facilita que los interesados reciban los datos en un formato estructurado de uso común y de lectura mecánica e interoperable, siempre que la tecnología lo permita.

La organización no aplica el derecho a la portabilidad a los datos que el interesado haya facilitado sobre terceras personas ni sobre los datos que le hayan sido proporcionados a través de terceros.

RELACIONES RESPONSABLE – ENCARGADO                                                                                                           

Elección del encargado del tratamiento

El art. 28 del Reglamento (UE) 2016/679 manifiesta que ‘el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado’.

El artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece que tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.

A su vez, en el considerando 81 se añade que, en particular, el responsable atenderá a los conocimientos especializados, fiabilidad y recursos del encargado de tratamiento, de cara a la aplicación de las medidas

técCniLcaIsEyNorTgaEnizativas que cumplan los requisitos del Reglamento.

MAINAKE SEGURA SL garantiza una diligencia debida en la elección del encargado del tratamiento que ofrezca garantías suficientes para que el tratamiento de los datos se realice conforme al Reglamento (UE) 2016/679, y proteja los derechos de las personas afectadas.

MAINAKE SEGURA SL es responsable de los tratamientos de datos realizados por el encargado y no pierde esta consideración en ningún caso.

Con todos y cada uno de los encargados de tratamiento elegidos MAINAKE SEGURA SL suscribe un contrato de confidencialidad vinculante regulando la relación entre ambos y estableciendo un adecuado control de firma.

Es posible que el acuerdo de confidencialidad entre responsable y encargado forme parte del contrato de prestación de servicios. En este caso se añadirá al contrato una cláusula de protección de datos específica que recoja el contenido del anexo citado en el párrafo anterior.

El contrato garantiza entre otros aspectos:

  • que el encargado del tratamiento no recurre a otro encargado del tratamiento sin la autorización previa por escrito de la organización responsable de los tratamientos de datos.
  • que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad de los datos y que poseen la formación necesaria en la materia.
  • que el encargado del tratamiento pondrá a disposición del responsable toda la documentación necesaria para demostrar el cumplimiento de las obligaciones y que contribuirá a la realización de auditorías por parte del responsable.

En el REGISTRO DE ENCARGADOS DE TRATAMIENTO (ver Anexo) se recogen todos los encargados del tratamiento contratados por la organización.

Verificación del cumplimiento de las obligaciones

En función al art. 28 apdo 3.h) del Reglamento (UE) 2016/679, MAINAKE SEGURA SL requiere a cada encargado del tratamiento para que al menos con una periodicidad anual demuestre que mantiene el cumplimiento de las obligaciones contractuales, así como las medidas de seguridad que garantizan la protección de los datos.

Para ello se podrán realizar auditorías de revisión sobre los encargados del tratamiento o en su lugar instar a que el encargado aporte las pruebas documentales necesarias.

Tratamiento de datos por encargo

Cuando un responsable (un cliente habitualmente) solicite el tratamiento de datos por encargo, MAINAKE SEGURA SL actuará como encargado del tratamiento, ateniéndose a todas las obligaciones establecidas por el art. 28 del Reglamento (UE) 2016/679.

En el Anexo Externo CLÁUSULA CONTRACTUAL PARA LA PRESTACIÓN DE SERVICIOS COMO

ENCARGADO DEL TRATAMIENTO se recoge el contenido contractual vinculante que debe estar suscrito por ambas partes o en su defecto el acuerdo contractual que el responsable del tratamiento establezca.

VER MANUAL PROTECCIÓN DE DATOS, MAINAKE SEGURA SL