La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental establecido en el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea, así trasladado en el artículo 18.4 de la Constitución Española que establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
MANOS UNIDAS, en el marco de su compromiso en materia de cumplimiento normativo, aprueba la presente POLÍTICA DE PROTECCION DE DATOS, en adelante, la Política, en la que desarrolla las normas y principios de conducta que deben servir de guía a los profesionales de MANOS UNIDAS, en relación con la protección de datos de carácter personal de acuerdo con la legislación vigente.
Esta Política pretende dar a conocer a los profesionales, voluntarios y contratados, de MANOS UNIDAS la normativa de aplicación en materia de protección de datos y, en especial, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).
Las reglas de actuación contenidas en esta Política serán de aplicación en el contexto del trabajo desempeñado por los profesionales de MANOS UNIDAS y tendrán como objetivo la protección de los datos de carácter personal, tanto de los profesionales como de todos los terceros (proveedores, clientes, representantes de administraciones públicas, etc.) que se relacionan con MANOS UNIDAS.
Las reglas recogidas en esta Política son pautas de obligado cumplimiento para todos los profesionales, voluntarios y contratados, de MANOS UNIDAS que, además, deberán emplear sus mejores esfuerzos para asegurarse de que las mismas se respetan.
Las reglas contenidas en la presente Política se verán complementadas con lo dispuesto en el Manual de Funciones y Obligaciones destinado al personal de MANOS UNIDAS.
La presente Política se aplica al tratamiento total o parcialmente automatizado o no automatizado de datos personales en el entorno de las actividades desarrolladas por MANOS UNIDAS.
Por otro lado, esta Política se aplica a todos los profesionales de MANOS UNIDAS, independientemente de su posición jerárquica en el seno de la organización o de su cualificación profesional o la tipología de su relación con MANOS UNIDAS.
Esta política no se aplica a las personas jurídicas vinculadas por cualquier motivo con MANOS UNIDAS, pero sí a las personas físicas que integren a esas personas jurídicas y cuyos datos personales trasciendan en la actividad desarrollada por MANOS UNIDAS.
Presencia internacional: En el caso de aquellos países en los que MANOS UNIDAS tenga presencia institucional por su reconocimiento en registros locales o similares, se tendrá que aplicar tanto los términos de esta política como cumplir con la legislación nacional en materia de protección de datos. En el caso de aquellos otros países en los que MANOS UNIDAS trabaja a través de socios locales, sus obligaciones en materia de protección de datos se limitarán a la transferencia internacional de datos, según determine la legislación española.
A este respecto, las entidades con las que MANOS UNIDAS colabora podrían acceder a los datos personales que utiliza esta Asociación, produciéndose una transferencia internacional de datos que tendrá lugar de acuerdo con lo dispuesto en el RGPD, Capítulo V, Artículo 44 y siguientes, particularmente cumpliendo los requisitos sobre garantías adecuadas del Artículo 46, o bien con las excepciones previstas en el Artículo 49, en los casos en los que los datos personales se transmitan a un tercer país u organización internacional sobre los que la Comisión Europea no haya emitido una Decisión de Adecuación conforme al Artículo 45 del citado Reglamento o bien estén incluidos en la Orden de 2 de febrero de 1995 por la que se aprueba la primera relación de países con protección de datos de carácter personal equiparable a la española, a efectos de transferencia internacional de datos (BOE 10/02/1995, última modificación 21/08/1998).
El Capítulo II del RGPD establece los principios que rigen la protección de datos y que, por lo tanto, forman la base de la presente Política:
MANOS UNIDAS tratará los datos personales de manera lícita, leal y transparente, es decir, se informará al interesado acerca del tratamiento de sus datos y las finalidades específicas, ofreciéndole toda la información adicional que sea necesaria.
Las personas físicas serán informadas de que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.
Los datos personales se tratarán de modo que se garantice una seguridad y confidencialidad adecuadas, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
No se tratarán datos personales sin el consentimiento del interesado o conforme a las reglas generales de la legislación aplicable.
MANOS UNIDAS no recabará ni tratará datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física, salvo que dicha recogida y el posterior tratamiento fueran necesarios, legítimos u obligatorios o permitidos por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en aquella. MANOS UNIDAS trata datos relativos a creencias religiosas, al tratarse de una organización vinculada con la Iglesia Católica, y exclusivamente de las personas que ostentan la condición de miembros. Es necesario disponer de esta información para el correcto funcionamiento interno y para cumplir con los estatutos.
Los datos personales tratados por MANOS UNIDAS serán siempre recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con los mismos; salvo que se traten en el futuro con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, lo que no se considerará incompatible con los fines iniciales.
MANOS UNIDAS tratará únicamente aquellos datos personales que resulten estrictamente necesarios para la finalidad para la que se recogieron, es decir, serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
MANOS UNIDAS velará porque los datos personales tratados sean exactos y estén actualizados, adoptando para ello aquellas medidas razonables para que se supriman o rectifiquen cuando se detecte que son inexactos con respecto a los fines para los que se recogieron.
MANOS UNIDAS no conservará los datos personales que trate más allá del tiempo necesario para los fines para los que se recogieron, salvo obligación legal o si se conservan con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
MANOS UNIDAS procurará garantizar la integridad y confidencialidad de los datos personales tratados, aplicando medidas técnicas u organizativas para protegerlos de tratamientos no autorizados o ilícitos, contra su pérdida, destrucción o daño accidental.
MANOS UNIDAS se compromete al cumplimiento de los principios arriba enumerados aplicando la debida diligencia y debiendo ser capaz de demostrar dicho cumplimiento aplicando una “responsabilidad proactiva” que se traduce en:
El responsable del tratamiento está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con la legislación aplicable, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Para ello, MANOS UNIDAS realizará una evaluación o análisis del riesgo de los tratamientos que realice, con el fin de ponderar sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo y si este es alto, determinando así que las medidas aplicadas sean conformes a las obligaciones legales.
MANOS UNIDAS realizará evaluaciones de impacto en aquellos casos previstos en la legislación aplicable, esto es, cuando exista una probabilidad de que un determinado tratamiento y, de manera particular si se utilizan nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas. La probabilidad de que el tipo de tratamiento entrañe riesgos se valorará atendiendo a los siguientes criterios: su naturaleza, su alcance y el contexto o los fines del tipo de tratamiento. La evaluación de impacto incluirá, en particular, las medidas, las garantías y los mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con la legislación aplicable.
Para ello, se habrán de seguir las pautas e instrucciones establecidas en el correspondiente procedimiento interno.
MANOS UNIDAS, tanto cuando actúe como responsable de tratamiento como cuando actúe como encargado de tratamiento de algunos de sus clientes, mantendrá registros de las actividades de tratamiento bajo su responsabilidad.
En caso de que se produzca una incidencia en el tratamiento de los datos personales de los que sea responsable MANOS UNIDAS y que pueda suponer un daño o perjuicio físico, material o inmaterial para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo para la persona física titular de los datos personales, se seguirán las pautas y normas internas establecidas en MANOS UNIDAS para la gestión de las llamadas Violaciones o Brechas de Seguridad.
Cuando se trate de un caso previsto en la legislación aplicable, MANOS UNIDAS designará la figura del delegado de protección de datos.
En el resto de los casos en los que no sea obligatoria la designación de este delegado, las funciones de seguimiento, control e implementación recaerán en el Comité de Seguridad.
MANOS UNIDAS se compromete a facilitar al interesado el ejercicio de sus derechos reconocidos por la legislación aplicable:
Para ello, se seguirán las pautas y normas establecidas en los procedimientos internos que regulan el ejercicio de derechos de los interesados.
MANOS UNIDAS dispone de procedimientos internos de contratación que regulan y establecen las medidas concretas a tomar respecto de la contratación de los servicios de proveedores que accedan a datos ocupando la figura de encargados de tratamiento, así como respecto de aquellos proveedores que, sin ser encargados de tratamiento, podrían acceder de forma accidental o accesoria a datos personales responsabilidad de MANOS UNIDAS. La prestación de estos servicios se regulará en los correspondientes contratos de tratamiento de datos o incluyendo clausulas ad hoc en el contrato principal del servicio.
MANOS UNIDAS tiene presencia internacional, por lo que puede haber necesidad de realizar transferencias internacionales de datos incluso a Estados que no ofrezcan la misma seguridad que los Estados miembros de la Unión Europea o aquellos reconocidos por la Comisión como destino seguro. Por ello, MANOS UNIDAS velará porque todo tratamiento que comporte una transferencia de datos fuera de la Unión o a países que no dispongan de un nivel adecuado de protección de datos, se realice cumpliendo con los requisitos establecidos en la legislación aplicable.
Siguiendo los principios y normas incluidos en esta Política, MANOS UNIDAS desarrollará los oportunos procedimientos internos, o cualquier otro documento de apoyo interno, que permitan la implementación de la legislación aplicable formando así un Sistema de Gestión de Protección de Datos. Dichos procedimientos o documentos de apoyo serán de obligado cumplimiento para todos los profesionales de MANOS UNIDAS.
El delegado de protección de datos o el Comité de Seguridad, según sea el caso, será responsable de vigilar el cumplimiento e implementación del citado Sistema de Gestión de Protección de Datos coordinando en todo momento con los responsables de delegaciones.
El Sistema de Gestión de Protección de Datos se habrá de controlar y evaluar de forma periódica. Para ello, se realizarán, bajo la dirección y supervisión del Comité de Seguridad (o Delegado de Protección de Datos si existiera), una auditoria periódica del cumplimiento de lo dispuesto en esta Política y en la legislación aplicable en general.
Por otro lado, Auditoria Interna, en el marco de su planificación anual de revisión de todos los sistemas de MANOS UNIDAS, incluirá un apartado especifico en materia de protección de datos con el fin de controlar el cumplimiento de la normativa a delegaciones.
Los resultados obtenidos de las diferentes auditorias y demás controles serán reportados al órgano de gobierno.
La Política de Protección de Datos estará disponible como información documentada, se comunicará a todos los interesados y profesionales de MANOS UNIDAS que lo hayan de respetar e implementar. Asimismo, estará disponible a través del portal de Transparencia en la página web: https://www.manosunidas.org/politicas-procedimientos-normativa