ANEXO I: Información adicional sobre protección de datos personales
¿Con qué finalidad tratamos sus datos personales? La de gestionar y mantener la relación laboral interna existente entre ACOR y empleados, y más concretamente:
- Realizar todos los trámites necesarios para cumplir con nuestros compromisos contractuales, fiscales y contables.
- Gestión de pago de nóminas mediante entidad financiera.
- Gestionar la formación que pudiera ofrecerse a los trabajadores, así como las posibles bonificaciones de la misma.
- El seguimiento mediante geolocalización, en su caso, de los vehículos de su flota para su control y gestión.
¿Durante cuánto tiempo vamos a conservar sus datos personales?
- Sus datos personales serán conservados mientras dure la relación laboral con ACOR.
- Finalizada la misma, la entidad conservará bloqueados durante el plazo legal de 4 años la documentación necesaria para acreditar el cumplimiento de las obligaciones en materia de afiliación, altas, bajas,
documentos de cotización y los recibos justificativos del pago de salarios y del pago delegado de prestaciones, de acuerdo con el Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social.
- Toda aquella documentación fiscal obligatoria según la normativa tributaria que proceda, será conservada durante un plazo de 4 años, de conformidad con la Ley General Tributaria.
- Las imágenes/sonidos captados por los sistemas de videovigilancia se conservarán durante el plazo máximo de un mes desde su captación, de acuerdo con la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
- Las imágenes publicadas en las redes sociales y página web de ACOR se conservarán salvo que solicite su supresión.
Transferencias internacionales.
ACOR no tiene previsto realizar transferencias internacionales de datos, en caso de ser necesarias, sólo se realizarán a entidades bajo la habilitación del acuerdo EEUU-Unión Europea Privacy Shield (https://www.privacyshield.gov/welcome), a entidades que hayan demostrado que cumplen con el nivel de protección y garantías de acuerdo con las exigencias previstas en la normativa vigente, o cuando exista una habilitación legal para realizar la transferencia internacional.
¿Cuáles son sus derechos en relación con el tratamiento de datos?
Tiene derecho a obtener confirmación sobre la existencia del tratamiento de sus datos personales, a acceder a ellos, a solicitar la rectificación de los que sean inexactos o, en su caso, su supresión, cuando entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos o usted como interesado retire el consentimiento otorgado. ACOR tratará y conservará sus datos de acuerdo con la normativa vigente, sin perjuicio de que el trabajador pueda solicitar, la limitación del tratamiento de sus datos. En ciertos supuestos podrá ejercitar su derecho a la portabilidad de los datos, que serán entregados en un formato estructurado, de uso común o lectura mecánica, a usted o al nuevo responsable de tratamiento que se designe. Tendrá derecho a revocar en cualquier momento el consentimiento para cualquiera de los tratamientos para los que lo ha otorgado.
Para ejercitar sus derechos envíe un correo electrónico protecciondedatos@acor.es. Cualquier solicitud de ejercicio de derechos será trasladada inmediatamente a la persona o departamento responsable de estudiarla y responderla. El plazo máximo para resolver será el de un mes a contar desde la recepción de su solicitud. Tendrá derecho a presentar una reclamación ante la Agencia Española de Protección de Datos en el supuesto de que considere que no se ha atendido convenientemente el ejercicio de sus derechos.
En el caso de producirse alguna modificación de sus datos, le agradecemos nos lo comunique debidamente por escrito con la finalidad de mantener sus datos actualizados.
Asimismo, se recuerda que el usuario será responsable frente a ACOR y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores y resarcirá a ACOR las indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento.
En caso de que el trabajador tenga un deber especial de sigilo (bien por ser Delegado Sindical, miembro del Comité de Empresa, del Comité de Cumplimiento, de la Comisión de Igualdad, o formar parte de la Dirección,
…), deberá proteger especialmente aquella información que, en legítimo y objetivo interés de la entidad, le haya sido confiada. En todo caso, ningún tipo de documento entregado por ACOR al trabajador con tales fines podrá ser utilizado fuera del estricto ámbito de la misma ni para fines distintos de los que motivaron su entrega. El deber de secreto persistirá incluso tras expirar su condición de trabajador e independientemente del lugar en que se encuentre, por lo que expresamente acepta toda responsabilidad que pudiera derivarse del uso indebido de dicha información fuera del ámbito que le es propio.
ANEXO II. Medidas de seguridad y prohibiciones
La presente normativa de seguridad es de obligado cumplimiento para todos los usuarios de ACOR (personal interno y externo, estudiantes o colaboradores) con acceso a los datos de carácter personal en soporte papel y a los sistemas de información.
Los trabajadores de ACOR no podrán utilizar los recursos a los que tengan acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente encomendadas por ACOR, ni facilitará a persona alguna ajena a ACOR ningún soporte conteniendo datos personales a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.
Toda incidencia y brecha en materia de seguridad deberá comunicarse al administrador del sistema tan pronto como se tenga constancia (en Fábrica y en P.T.A.O. el administrador del sistema es el Responsable de Informática Industrial, en Oficinas Centrales, el Responsable de I.T.).
-
En relación a los datos personales almacenados en soporte papel y cualquier otro dispositivo no electrónico, se tendrán en cuenta las siguientes normas:
- Cuando la documentación no se encuentre archivada en los dispositivos habilitados para su almacenamiento, la persona que se encuentre al cargo deberá custodiarla e impedir en todo momento que pudiera ser accedida por personal no autorizado.
- La reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado.
- Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
- Siempre que se proceda al traslado físico de la documentación, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto del traslado.
-
En relación a las contraseñas se seguirán las siguientes normas:
- Se evitarán contraseñas fácilmente deducibles, por ej.: nombres comunes, números de matrículas de vehículos, teléfonos, …
- No se accederá al sistema utilizando el identificador y contraseña de otro usuario puesto que es personal e intransferible. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado ya que está prohibido revelar la contraseña a otros usuarios.
- El usuario bloqueará el acceso a su equipo informático (Pcs, dispositivos móviles, …) por contraseña, código, huella dactilar o cualquier mecanismo de protección equivalente disponible en el mismo en caso de ausentarse del puesto de trabajo durante la jornada.
-
En relación a los datos personales almacenados en soportes electrónicos y/o dispositivos informáticos corporativos, se tendrán en cuenta las siguientes normas:
- En el caso de tratar datos personales en dispositivos informáticos, se tiene la obligación de trabajar sobre la unidad lógica definida en la entidad, así como a contar con la debida autorización previa de ACOR.
- El usuario custodiará el dispositivo impidiendo el acceso o manipulación por parte de terceros.
- El trabajador que desee utilizar su dispositivo personal para fines empresariales, deberá solicitar autorización previa. En caso de autorizarse por el administrador del sistema o la persona designada a tal efecto, el trabajador deberá implementar las medidas de seguridad oportunas que garanticen la seguridad y confidencialidad de sus datos, así como firmar los documentos oportunos.
- Se podrá monitorizar el buen uso de todos los dispositivos informáticos corporativos.
- Todos los ficheros temporales que los usuarios mantengan en sus ordenadores personales deberán ser borrados, una vez haya finalizado la finalidad para la que fueron creados.
- El usuario extremará la precaución en el acceso a páginas web en la descarga de ficheros para impedir la entrada de malware que pueda comprometer el funcionamiento del dispositivo.
- La salida de soportes informáticos y ordenadores personales que contengan datos de carácter personal fuera de los locales de ACOR precisa de autorización previa.
- En el caso de salida autorizada de algún soporte fuera de los locales de la entidad ACOR, el usuario adoptará medidas de seguridad dirigidas a evitar la sustracción o posible pérdida de
información.
- En el momento del desecho de algún soporte, el usuario procederá a su previo borrado o a su destrucción para evitar el acceso o recuperación posterior de la información contenida en el mismo.
- El usuario se abstendrá de desactivar cualquier mecanismo de seguridad que haya estado habilitado por ACOR en el dispositivo, así como el sistema de bloqueo, el sistema de borrado remoto, el cifrado de datos o cualquier otro.
- En caso de avería o mal funcionamiento del dispositivo se debe notificar inmediatamente al administrador del sistema. También se notificarán pérdidas o robos del dispositivo a fin de proceder a la denuncia, bloqueo y/o borrado remoto.
- En la fecha prevista de devolución o como límite de tiempo la fecha de baja del usuario en ACOR, el usuario devolverá el dispositivo al administrador del sistema para garantizar que se proceda al borrado de la información.
- El uso personal de las comunicaciones telefónicas estará permitido si es fortuito o insignificante, y no interfiere ni perjudica las actividades habituales. El acceso de los usuarios y sus privilegios asociados se verán limitados exclusivamente a aquellos que resulten imprescindibles para desarrollar las funciones correspondientes a sus obligaciones profesionales para con la empresa. Los equipos telefónicos, así como el fax son propiedad de ACOR, y, por tanto, se reserva el derecho de revisar, de manera no intrusiva, la lista de llamadas realizadas y faxes enviados, para verificar el cumplimiento de las normas ante cualquier sospecha fundada o evidencia de uso fraudulento o abusivo del servicio.
- Cualquier soporte informático recibido en la organización, deberá ser inventariado, siguiendo el procedimiento establecido internamente. Una vez procesado, el soporte recibido deberá ser borrado completamente. En el caso de que por un motivo justificado se desee conservar el soporte recibido, deberá inventariarse, siguiendo las normas internas.
- Sin autorización previa expresa del administrador del sistema se prohíbe:
- instalar nuevas aplicaciones.
- alterar o modificar la configuración del sistema, dispositivo y aplicativos del dispositivo.
- almacenar o mantener datos personales catalogados como categorías especiales* de datos.
- el uso de aplicaciones en la nube para compartir documentos o trabajar fuera del lugar de trabajo. Algunas de estas aplicaciones pueden ocasionar una transferencia internacional de datos lo que requiere adaptar con carácter previo por parte de ACOR una serie de medidas y cautelas impuestas por la normativa.
- La conexión a la red interna por parte de proveedores de servicios externos.
- Respecto al uso de Internet y de la cuenta de correo electrónico facilitada por la empresa, se utilizarán exclusivamente para las funciones encomendadas por ACOR, quedando completamente excluido el uso particular. No se permite el envío ni recepción de mensajes privados, ni almacenamiento de documentos particulares.
Entre los sistemas de control previstos se encuentra el registro y revisión de la navegación, así como el acceso a los mismos durante la ausencia del usuario en el caso que sea necesario.
- Respecto a la cuenta de correo asignada por la empresa, se observarán las siguientes normas:
- En caso de recibir mensajes sospechosos es necesario comunicarlo al administrador del sistema. Ejemplos de mensajes
sospechosos son los recibidos por desconocidos, los que simulan el envío desde entidades bancarias o desde empresas
muy conocidas induciendo a abrir links o que soliciten páginas donde se pidan contraseñas o datos personales.
- En caso de detectar una incidencia durante el uso del correo electrónico, el trabajador lo tiene que poner en conocimiento del administrador del sistema.
- Cuando el correo contenga datos de categorías especiales* no podrá reenviarlo sin autorización a tal efecto y deberá en cualquier caso cifrar el contenido de los documentos que contengan dichos datos y facilitar la contraseña por otra vía.
- Solamente podrán utilizar cuentas de webmail corporativas, aquellos empleados que estén autorizados para ello. En este caso, deberán seguirse las siguientes normas en caso de consultar desde un equipo o dispositivo que no pertenezca a ACOR:
- No hacer uso de la opción de guardar la contraseña.
- Al finalizar, cerrar la sesión de webmail y borrar el historial de navegación.
- No deberá guardar datos en terminales o soportes ajenos a ACOR, salvo que fuese estrictamente
necesario y procediendo después a su total eliminación.
- Únicamente se consultará el webmail desde dispositivos protegidos mediante contraseña u otro mecanismo de bloqueo.
Todas las citadas medidas de seguridad son de obligado cumplimiento para todo el personal de ACOR en cumplimiento de la normativa vigente en la que se dispone que:
- El responsable y el encargado de tratamiento de datos personales garantizarán que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo puedan tratar dichos datos siguiendo instrucciones del responsable, salvo que estén obligados a ello en virtud de la normativa vigente. Aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo detectado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
-
Las sanciones por incumplimiento de las estipulaciones del Reglamento pueden acarrear la imposición de sanciones de hasta 20 millones euros o el 4% de la facturación bruta mundial.
*Categorías especiales de datos: Aquellos de origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical (salvo para el exclusivo fin del pago solicitado por el trabajador de sus cuotas sindicales), datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, relativos a la salud o a la vida u orientación sexual, así como los relativos a condenas e infracciones penales.
Última versión: 14 de octubre de 2019