Guía GDPR

Manual orientativo para el cumplimiento de la GDPR con Filmijob.

Qué es la GDPR

El Reglamento General de Protección de Datos (GDPR) 2016/679 de 27 de abril de 2016 del Parlamento Europeo y del Consejo tiene como objeto reforzar y unificar la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando así el antiguo Reglamento general de protección de datos.

O

1. Tratamiento de los datos personales

El objetivo del GDPR es dar control a los ciudadanos sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE.

El GDPR va a tener un impacto significativo para las organizaciones y en su forma de manejar los datos con sanciones graves para aquellas empresas que realicen una violación sobre este reglamento, llegando hasta un 4% de los ingresos globales.

En esta guía se establecerán los principios para su aplicación a través de la solución de talento facilitada por FILMIJOB SL (FILMIJOB en adelante). Previo a ello, se explican a continuación los conceptos requeridos para una total comprensión de la guia:

  • Responsable de tratamiento. Rol asumido por su empresa y por cada una de las empresas franquiciadas si las hubiera. Es la entidad que determina los fines y medios del tratamiento. Está obligado a cumplir todas las disposiciones del GDPR.
  • Encargado de tratamiento. Es la organización que realiza el tratamiento de datos por cuenta del Responsable del tratamiento. Este rol corresponde a FILMIJOB.
  • CATENON SA (en adelante CATENON). Es la empresa matriz de la que forma parte FILMIJOB.
  • Tratamiento. Es cualquier operación realizada sobre los datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.
    • FILMIJOB participa en todas las tareas de tratamiento.
    • El personal responsable de tratamiento, los Store Managers y miembros del departamento de RRHH de las oficinas centrales con acceso a la herramienta sólo realizan tratamiento de datos mediante el acceso e intervención de éstos.
  • Datos personales. Cualquier información relativa a una persona física por la cual pueda determinarse su identidad.
  • Interesado. Persona física sometida al tratamiento de sus datos personales. En el caso que nos atañe serían los candidatos.
  • Fichero. Es un conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
  • CANDIDATO(S). Persona(s) interesada en trabajar en la empresa del CLIENTE.
  • STORE MANAGER(S). Trabajadores del CLIENTE responsables de la gestión de puntos de venta con acceso limitado a los datos de los candidatos.

Una vez el Responsable del tratamiento tiene claros estos conceptos básicos, establecerá en su organización un proceso de adopción para aplicar el reglamento, el cual será guiado por FILMIJOB.

Para ello, en primer lugar, se deben de identificar los ficheros de datos personales que se están tratando, su finalidad y si se tratan por cuenta propia (responsable: Store Managers y departamento de RRHH de oficinas centrales) o por cuenta ajena (encargado: FILMIJOB).

1.1. PRINCIPIOS DE TRATAMIENTO

Se deberá de garantizar la realización del tratamiento conforme al Reglamento. Para ello, se cumplirán todos los principios de protección de datos para el tratamiento de cada fichero (CANDIDATOS y STORE MANAGERS).

 

Principio Descripción Aplicación
Licitud Lealtad y transparencia con el interesado.
  • Determinada en la Política de información.
  • Procedimiento para la obtención del consentimiento explícito del interesado para tratar sus datos.
Limitación de los fines Recogidos con fines determinados, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines.
  • Determinar los fines del tratamiento para cada fichero.
  • Deben de ser claros y relacionados entre sí.
  • Informar de la finalidad en el documento usado para la obtención del consentimiento explícito.
Minimización de los daños Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Determinar los datos que se van a obtener.
  • Sólo se deben obtener los datos que sean necesarios.
Exactitud Actualizados sin demora con respecto a los fines para los que se tratan.
  • Determinar el procedimiento para actualizar los datos.
Limitación del plazo de conservación Mantenerlos durante no más tiempo del necesario para los fines por los que se tratan.
  • Determinar los criterios de conservación
  • Determinar los criterios de eliminación
Integridad y confidencialidad Implementar medidas técnicas y organizativas adecuadas para proteger los datos.
  • Determinar protocolo para proteger los datos (ubicado en la Política de seguridad)
  • Contratos de confidencialidad con el personal autorizado para el tratamiento (FILMIJOB, Store Managers y dpto. RRHH de las oficinas centrales)
  • Obtener garantías adecuadas para la transmisión de datos a terceros
  • Análisis de los riesgos previstos en el tratamiento y realización de una evaluación de impacto en el caso de que existan riesgos.
Responsabilidad proactiva Ser capaz de demostrar el cumplimiento de todos los principios del reglamento.
  • Documentar y guardar los consentimientos, protocolos, políticas, contratos, registro de actividades, evaluaciones de impacto, auditorías, informes, etc.

1.2. APLICACIÓN DE LOS PRINCIPIOS DE TRATAMIENTO

Cada categoría de tratamiento dispone de diferentes reglas y normas específicas. Una vez identificados los ficheros y determinados los principios del tratamiento aplicados a los mismos, se procederá a comprobar si las operaciones de tratamiento realizadas con dichos ficheros contemplan alguna de las siguientes categorías de tratamiento.

  • Tratamiento con alto riesgo. Suponen un alto riesgo para la protección de los derechos y las libertades de los interesados. En FILMIJOB se han tomado todas las medidas oportunas para que el tratamiento de los datos no suponga ningún riesgo, pero el uso de las nuevas tecnologías  para datos que contienen información personal de los interesados obliga a tratarlos los como susceptibles de alto riesgo.
  • Transferencias internacionales. Esto es de aplicación únicamente para las empresas ubicadas fuera de Europa.
  • Elaboración de perfiles. Confección de decisiones basadas en un tratamiento automatizado de los datos, destinado a evaluar aspectos personales o a predecir el rendimiento profesional. Este principio sí que se aplicaría en el caso del fichero de CANDIDATOS.
  • Datos tratados por grupos de empresas. Este principio también se aplicaría cuando la contratación del servicio se haga a través de CATENON, empresa matriz de la que FILMIJOB forma parte.
  • Datos de titularidad e interés público: tratamientos con finalidades de investigación histórica, estadística o científica.

En el caso de que algún fichero contemple alguna de las características de tratamiento mencionadas, se debe determinar un protocolo de actuación para implementar la normativa específica que les afecte.

O

2. Licitud para el tratamiento de datos

El tratamiento de los datos debe basarse, de forma general, en el consentimiento libre, informado, específico e inequívoco del interesado.

El nuevo Reglamento requiere una declaración o acción positiva por parte del interesado que indique su conformidad con el tratamiento. La conformidad se basará en una información concisa, transparente, inteligible y de fácil acceso. Para que un tratamiento sea considerado lícito, se basará en 3 premisas:

  • Obtención del consentimiento para el tratamiento de datos
  • Información del tratamiento facilitada al interesado
  • Establecimiento de una política de información, desglosada en la POLÍTICA DE INFORMACIÓN.

En el caso presente, tanto para el fichero de CANDIDATOS como para el de STORE MANAGERS, el consentimiento se realiza por interés del interesado aceptando explícitamente el tratamiento de sus datos e en el momento del registro. Sin marcar esta casilla es imposible realizar el proceso de registro, con lo que la propia acción de registrarse en la plataforma, ya sea mediante la versión web o la versión móvil, se cumplirá la Obtención del consentimiento para el tratamiento de datos y Información del tratamiento al interesado.

La información del tratamiento estará siempre accesible tanto para CANDIDATOS como para STORE MANAGERS en el footer de la página web y en una sección visible en la aplicación móvil.

Para la adaptación al GDPR se considerará prohibido el consentimiento tácito a partir de la derogación de la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal).

2.1. Obtención del consentimiento para el tratamiento de datos

El consentimiento debe ser libre, informado, específico e inequívoco. Los requisitos para que el consentimiento sea válido son:

  • Información específica. No es aceptable el consentimiento genérico sin especificar el propósito exacto de su finalidad.
  • Momento. Debe darse antes de que se comience con el tratamiento. En el caso presente, concretamente en el proceso de registro tanto del CANDIDATO como del STORE MANAGER.
  • Elección activa. El consentimiento debe ser inequívoco. Debe ser una indicación activa de la voluntad del interesado y no debe dejar ninguna duda en cuanto a su intención.
  • Libremente otorgado. El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.

Las condiciones para que el consentimiento sea deliberado son:

  • Guardar los comprobantes del consentimiento. En el caso presente, este consentimiento se realiza de manera virtual, con lo que no es posible guardar ningún comprobante físico, pero se guarda la fecha exacta en el que el candidato otorga este consentimiento.
  • No condicionar el consentimiento a una prestación de servicios que no requiera el tratamiento de datos: la prestación del servicio, es decir, la evaluación de la candidatura para verificar la idoneidad del candidato con el puesto, sí que requiere el tratamiento de los datos del CANDIDATO, y el acceso del STORE MANAGER para realizar esta gestión.
  • Posibilitar una retirada del consentimiento en cualquier momento y facilitarla de manera que no haya obstáculo alguno. Tanto el CANDIDATO como el STORE MANAGER tendrán a su disposición y de manera visible, tanto en la versión web como en la versión móvil, un botón para la eliminación inmediata e irrecuperable de su perfil, junto con todos sus datos.

2.2. Información del tratamiento facilitada al interesado

El principio fundamental del tratamiento es la lealtad y transparencia con el interesado. El Reglamento dispone que se deberá facilitar la información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

El interesado debe estar informado del tratamiento, y sin necesidad de informarle de nuevo a posteriori. El consentimiento no podrá ser tácito sino explícito y la información facilitada al interesado deberá ser clara y concisa. Se podrán eliminar las cláusulas informativas de la LOPD. Aunque la información del tratamiento siempre debe estar a disposición del interesado, no será necesario que se incorporen en los documentos como hasta ahora se venía haciendo.

2.3. Contenido de la información al interesado

El Responsable de tratamiento deberá facilitar, al menos, la siguiente información:

  • La base jurídica del tratamiento
  • La identidad y datos de contacto del Responsable del tratamiento y del DPO o Delegado de Protección de Datos (si existe)
  • Los fines del tratamiento
  • El plazo de conservación de los datos o los criterios que lo determinen
  • Los derechos del interesado
  • El interés legítimo del Responsable de tratamiento.
  • La identidad de los destinatarios de los datos, si se prevé comunicarlos a otro responsable.

Para tratamientos específicos, se tendrá en cuenta adicionalmente la siguiente información:

  • Las transferencias internacionales de datos y la existencia o ausencia de una decisión de suficiencia o de garantías apropiadas.
  • Si existe un mecanismo automatizado de elaboración de perfiles, se facilitará información sobre la lógica aplicada y las consecuencias previstas para el interesado.
  • Si se realiza un tratamiento de los datos para otros fines, se facilitará al interesado información al respecto.

En el caso presente, al incluir mecanismos automatizados para la predicción del rendimiento profesional, el documento informativo para CANDIDATOS a emplear será el siguiente:

……………. es el Responsable del tratamiento de los datos personales del Interesado y le informa que estos datos serán tratados de conformidad con lo dispuesto en las normativas vigentes en protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), la Ley Orgánica (ES) 15/1999 de 13 de diciembre (LOPD) y el Real Decreto (ES) 1720/2007 de 21 de diciembre (RDLOPD), por lo que se le facilita la siguiente información del tratamiento:

Fin del tratamiento: Evaluar la idoneidad del candidato con los puestos vacantes, para su contratación.

Criterios de conservación de los datos: Se conservarán mientras exista un interés mutuo para mantener el fin del tratamiento y cuando ya no sea necesario para tal fin, se suprimirán con medidas de seguridad adecuadas para garantizar la destrucción de los datos que puedan identificar al candidato. El resto, serán guardados bajo seudónimo únicamente para fines estadísticos.

Comunicación de los datos: No se comunicarán los datos a ningún destinatario, excepto por obligación legal.

Derechos que asisten al Interesado:

– Derecho a retirar el consentimiento en cualquier momento.

– Derecho de acceso, rectificación y supresión de sus datos y a la limitación u oposición a su tratamiento, así como a no aceptar la elaboración de perfiles ni la portabilidad de los datos.

– Derecho a presentar una reclamación ante la Autoridad de control (agpd.es) si considera que el tratamiento no se ajusta a la normativa vigente.

Elaboración de perfiles:

Con la elaboración del perfil cada candidato obtendrá una puntuación, que facilitará la elaboración de un ranking de candidatos para cada punto de venta. La lógica aplicada para la elaboración de los perfiles se basa en los resultados de los test de competencias. Se establece una media aritmética con todos estos resultados y se ordena a los candidatos para un punto de venta de mayor a menor puntuación.

Las consecuencias previstas de dicho tratamiento para el interesado es la mejora en sus oportunidades de obtener el empleo cuando está mejor posicionado dentro del ranking de candidatos inscritos en un punto de venta.

Datos de contacto para ejercer sus derechos: ……………………..

2.4. Establecer una política de información

El Responsable del tratamiento deberá diseñar políticas concisas, transparentes, sencillas y accesibles para comunicar al interesado los detalles del tratamiento y el ejercicio de los derechos sobre sus datos.

Estas políticas se han formalizado en un protocolo de actuación para conocimiento y aplicación del personal autorizado con el fin de tratar los datos.

La política de información relativa al interesado (CANDIDATO o STORE MANAGER), desglosada en el ANEXO 3: POLÍTICA DE INFORMACIÓN,  contiene los siguientes procedimientos:

  • Protocolo para dar curso a las solicitudes de los derechos de los interesados y cumplir con los plazos establecidos en el Reglamento para responderlas.
  • Protocolo para la comunicación de la información al interesado:
    • En el momento de la obtención de los datos, si se obtienen del interesado.
  • Protocolo para no ser necesaria la comunicación de la información al interesado.
    • Cuando el interesado ya disponga de la información.
    • Cuando la comunicación sea imposible o suponga un esfuerzo desproporcionado.

O

3. Aplicar la protección de datos paso a paso

La obligación de proteger los datos personales recae en todos los participantes del tratamiento. La máxima responsabilidad recae sobre el Responsable de tratamiento. 

3.1. Protocolo de actuación para adaptarse al reglamento

Una vez identificado el tratamiento de datos y la licitud del tratamiento, el responsable deberá establecer quién va a tratar los datos, si serán personas físicas a su cargo o empresas externas contratadas para ello, o ambas a la vez. También se deberá de identificar si los datos podrán ser cedidos a terceros y si se prevé realizar transferencias internacionales. A su vez se deberá de implementar medidas técnicas y organizativas apropiadas y proporcionadas para garantizar la protección de datos en relación con las actividades del tratamiento (política de seguridad).

El Responsable del tratamiento será el garante universal de que el tratamiento se efectúe conforme al Reglamento y solo podrá desvincularse de su responsabilidad si formaliza contratos o acuerdos conforme a lo dispuesto en el el Reglamento con todos los intervinientes en el tratamiento.

3.2. Contratos con el personal autorizado para el tratamiento de datos

El Responsable del tratamiento debe garantizar que el personal que realiza el tratamiento, sea propio o ajeno, se compromete a:

  • Realizar el tratamiento siguiendo las instrucciones del Responsable.
  • Respetar la confidencialidad de los datos.

Para ello, se ha diseñado una política de seguridad donde se incluyen las instrucciones necesarias para que el tratamiento se realice conforme al Reglamento y se dará a conocer al personal autorizado para su cumplimiento.

También se formalizarán acuerdos de confidencialidad, por escrito y debidamente firmados en formato electrónico o papel, para demostrar que se ha comunicado al personal las instrucciones del tratamiento y el deber de secreto profesional.

3.3. Contratos con las empresas autorizadas para el tratamiento de datos

El Responsable del tratamiento sólo podrá contratar empresas encargadas del tratamiento de datos si ofrecen suficientes garantías para cumplir el Reglamento y se comprometan a seguir sus instrucciones.

FILMIJOB reúne estas características. Se anexará al contrato un documento, que se firmará por ambas partes, para corroborar que se han comunicado las instrucciones para el tratamiento con todos los detalles que obliga el Reglamento.

Si se tratan los datos por cuenta de un responsable o encargado sin suscribir el contrato correspondiente, el tratamiento será considerado ilícito.

3.4. Subcontratación del servicio a otro encargado de tratamiento

El encargado del tratamiento sólo podrá subcontratar el servicio a otro encargado si existe una autorización previa y por escrito del Responsable del tratamiento.

En el caso de FILMIJOB, al tratarse de una empresa filial de CATENON, no se aplicará el modelo de subcontratación, sino de GRUPO DE EMPRESAS. Esto quedará explicitado en el contrato que firme el CLIENTE.

3.5. Acuerdos con corresponsables del tratamiento

Cuando los fines y los medios del tratamiento se determinan entre varios responsables, todos serán corresponsables del tratamiento.

La relación entre corresponsables del tratamiento se formalizará mediante un acuerdo, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, donde se determinarán las funciones y responsabilidades asignadas a cada uno.

Para el uso del servicio de FILMIJOB se ha optado porque el CLIENTE sea el Responsable de tratamiento y FILMIJOB sea Encargado de tratamiento.

3.6. Empresas sin permiso de acceso a datos

Cuando el Responsable del tratamiento contrata empresas de servicios que no están autorizadas a tratar datos (limpieza, extintores, etc.), deberá de analizar los riesgos que puedan existir por la contratación de dichos servicios.

Si determina que pueden existir riesgos, deberá de formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, bajo el supuesto de que, durante el desempeño de su trabajo, pudieran acceder de manera accidental o fortuita a ellos.

3.7. Registro de las actividades de tratamiento

La obligación de llevar un registro de actividades afecta a responsables y encargados del tratamiento que cumplan alguna de las siguientes condiciones:

  • Empleen a un mínimo de 250 personas. En todos los acuerdos firmados con FILMIJOB se hará siempre e independientemente del número de trabajadores del CLIENTE.
  • Realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
  • Traten categorías especiales de datos.
  • Traten datos relativos a condenas y delitos penales.

El registro de actividades deberá documentarse en formato electrónico y contener la siguiente información:

Responsable del tratamiento: NOMBRE DE LA EMPRESA CLIENTE

Encargado del tratamiento: FILMIJOB SL

  • Datos de contacto de la totalidad de los implicados en el tratamiento. Documento de Excel.
  • Fines del tratamiento: Evaluar y verificar la idoneidad del candidato con los puestos ofertados por el CLIENTE.
  • Descripción de las categorías de interesados: Candidatos, personas físicas que buscan empleo en la empresa del CLIENTE.
  • Descripción de las categorías de datos:
    • Transferencias internacionales de datos: SI/NO
    • Elaboración de perfiles: Enlace donde se explica cómo funciona la elaboración de perfiles en la solución dada por FILMIJOB.
    • Datos tratado por grupos de empresas: Enlace donde se explica esta situación para el caso de FILMIJOB.
    • Fines estadísticos: SI
  • Descripción de las medidas técnicas y organizativas de seguridad: Enlace al documento Política de seguridad (ANEXO 4 del presente documento).
  • Categorías de datos y de tratamiento efectuados en nombre de cada Responsable del tratamiento. Documento de Excel.

O

4. Mecanismos de seguridad

Todas las medidas de seguridad y protección de datos para el servicio de FILMIJOB se encuentran desglosadas en el ANEXO 4: POLÍTICA DE SEGURIDAD.

La LOPD basa las medidas de seguridad en la aplicación de niveles de seguridad (Básico, Medio y Alto), detallando acciones precisas de índole técnica y organizativa a adoptar para cada nivel. Estas medidas se reflejan en el ANEXO 4: POLÍTICA DE SEGURIDAD, y son controladas por el responsable de seguridad con el objetivo de implementarlas y revisar su cumplimiento.

En la siguiente tabla se muestran las diferentes categorías de datos y de tratamiento:

Categorías de datos
  • Básicos
  • Especiales
  • Penales
Categorías de tratamiento
  • Tratamiento con alto riesgo
  • Transferencias internacionales de datos
  • Elaboración de perfiles
  • Datos tratados por grupos de empresas
  • Datos de titularidad o interés público, o para fines estadísticos

4.1. Categoría de datos

Las medidas de seguridad básicas se aplicarán a cualquier categoría de datos y de tratamiento y se basarán en el principio de integridad y confidencialidad, debiendo ser el Responsable del tratamiento capaz de demostrar su cumplimiento.

El principio de integridad y confidencialidad obliga a implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales. Para ello se ha confeccionado un protocolo de actuación (Política de seguridad) para la protección de datos en todas las operaciones de tratamiento.

TRATAMIENTO MEDIDAS DE SEGURIDAD
Responsabilidad
  • Contratos de confidencialidad con el personal autorizado. Serán necesarios para darles acceso por parte del encargado de tratamiento. Estos contratos se adjuntarán a su perfil, de manera que siempre podrán ser consultados por el Responsable de tratamiento.
  • Contratos de tratamiento de datos con empresas externas, que seguirán el mismo criterio.
  • Garantías adecuadas para la transmisión de datos a terceros
Riesgos
  • Análisis de riesgos del tratamiento
  • Protección de datos desde el diseño y por defecto
  • Aplicación de medidas de seguridad adecuadas
Más de 250 empleados
  • Registro de actividades. En los supuestos relacionados con FILMIJOB este registro se realizará siempre.

4.2. Análisis de los riesgos del tratamiento

Para evaluar el nivel de seguridad a implantar en la organización, se analizarán los altos riesgos que entraña el tratamiento como consecuencia de:

  • La destrucción accidental o ilícita de datos.
  • La pérdida, alteración o comunicación no autorizada.
  • El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.

Según el riesgo previsto, se aplicarán las siguientes medidas de protección de datos:

  • Encriptación y cifrado de las contraseñas.
  • Confidencialidad, integridad, disponibilidad y resistencia de los sistemas de tratamiento, concretamente de la plataforma web FILMIJOB. Las especificaciones técnicas se detallan en la Política de seguridad.
  • Acuerdos de confidencialidad con el personal autorizado para el tratamiento de datos, que deberán de ser correctamente firmados y verificados para dar acceso a los datos de los CANDIDATOS. Estos acuerdos podrán ser consultados siempre que se desee tanto por el Responsable de tratamiento como por el encargado de tratamiento.
  • Restauración de datos mediante copias de seguridad, con backup diarios en un entorno aislado para cada cliente.
  • Auditoría de las medidas de seguridad adoptadas, que serán llevadas a cabo con una periodicidad anual.

4.3. Protección de datos desde el diseño y por defecto

El Responsable del tratamiento deberá garantizar la aplicación efectiva de los principios de protección de datos mediante las siguientes medidas de seguridad:

  • Que el tratamiento se realice para fines específicos, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines. Estos fines son:
    • Evaluar la idoneidad del candidato con el puesto
  • La minimización de datos, siendo adecuados, pertinentes y necesarios en relación con los fines para los que son tratados. Todos los datos provenientes del candidato serán imprescindibles para su evaluación y citación para una posible entrevista de trabajo de cara a la contratación de éste. Detallado en el listado de datos solicitados.
  • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  • La protección de los derechos del interesado.
  • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  • Aplicación de los resultados de la evaluación de impacto.

TRATAMIENTO MEDIDAS DE SEGURIDAD
Principios
  • Fines específicos
  • Minimización de datos
  • Exactitud
  • Confidencialidad e integridad
  • Seguridad física de los datos
  • Supresión de datos
Interesados
  • Protección de los derechos del interesado
Acceso a datos
  • No accesibles a un número indeterminado de personas
Alto riesgo
  • Aplicación de los resultados de la evaluación de impacto

4.4. Aplicación de medidas de seguridad adecuadas

Aunque el Reglamento no dispone de actuaciones precisas para garantizar la seguridad de los datos, se deberán tomar unas medidas mínimas de seguridad que sean adecuadas al tipo de tratamiento con el fin de mitigar los riesgos del mismo. Por ejemplo:

TRATAMIENTO MEDIDAS DE SEGURIDAD
Organización
  • Clasificados de manera que se puedan ejercer los derechos de los interesados.
Conservación
  • Informático: soportes, carpetas, archivos, etc.
Acceso
  • Informático: identificación, autenticación, etc.
Procesamiento
  • Soportes físicos e informáticos dispuestos de tal forma que no sean accesibles a personas no autorizadas.
Eliminación
  • Destrucción de documentos y soportes informáticos.
Copias de respaldo
  • Copias de seguridad internas.
  • Copias de seguridad externas.
Protección
  • Antivirus, antispam, cortafuegos, etc.
  • Seudonimización, cifrado, etc.
Riesgos
  • Desde el diseño y por defecto.
  • Evaluación de impacto.
Redes
  • Permisos de acceso a redes.
  • Identificación, autenticación.
Internacional
  • Garantías adecuadas de protección de datos.
Auditorías
  • Responsabilidad proactiva.
  • Registro de las actividades del tratamiento.
  • Política de seguridad.

4.5. Categorías especiales de datos

Las categorías especiales de datos se refieren a tratamientos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

Las medidas de seguridad específicas para categorías especiales de datos son:

  • Llevar actualizado un registro de las actividades del tratamiento
  • Cuando la actividad principal del Responsable del tratamiento contemple un tratamiento de datos a gran escala, que no es el caso:
    • Realizar una evaluación de impacto
    • Designar un Delegado de Protección de Datos (DPO)

O

5. Derechos del interesado

Una vez establecidas estas medidas se deberán analizar las operaciones de tratamiento para ver si se corresponden con alguna de las categorías de tratamiento que dispone el Reglamento:

  • ALTO RIESGO: Tratamiento con alto riesgo
  • INTERNACIONAL: Transferencias internacionales de datos
  • PERFILES. Elaboración de perfiles
  • GRUPO: Datos tratados por grupos de empresas
  • PÚBLICO: Datos de titularidad o interés público

5.1. TRATAMIENTO CON ALTO RIESGO

Se tendrá la obligación de realizar una evaluación de impacto cuando:

  • Se utilicen nuevas tecnologías y si la naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo.
  • Exista un tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.
  • Se traten datos relativos a condenas y delitos penales.
  • El tratamiento se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo.
  • Evaluación o puntuación, incluida la elaboración de perfiles y predicciones de aspectos relacionados con el rendimiento en el trabajo.
  • Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.

En el caso del servicio dado por FILMIJOB se cumplen varias de estas características, así que sí que se le daría este tratamiento a los datos.

5.2. TRANSFERENCIAS INTERNACIONALES DE DATOS

Solo se podrán realizar transferencias internacionales de datos si el Responsable o el encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:

  • Decisión de adecuación tomada por la Comisión de la UE.
  • Garantías adecuadas de protección de datos.

Se deberá suscribir el correspondiente contrato con el encargado del tratamiento, especificando en el mismo las garantías adecuadas de protección de datos en que se basa la transferencia.

TRATAMIENTO MEDIDAS DE SEGURIDAD
Interesados
  • Informar la intención de realizar transferencias internacionales.
Registro de actividades
  • Documentación de garantías apropiadas

LICITUD PARA REALIZAR TRANSFERENCIAS INTERNACIONALES DE DATOS
Comisión UE
  • Decisión de adecuación de la UE
  • Acuerdos internacionales de privacidad
Autoridad de control
  • Cláusulas tipo o contractuales de protección de datos
  • Mecanismos de certificación
  • Normas corporativas vinculantes
  • Códigos de conducta
Interesado
  • Consentimiento explícito con información de los riesgos
  • Contrato con el interesado
Responsable de tratamiento
  • Por un interés legítimo e imperioso del Responsable del tratamiento

5.3. ELABORACIÓN DE PERFILES

Es la confección de decisiones individuales basadas en un tratamiento automatizado de datos destinado a evaluar aspectos personales o analizar o predecir, en el caso presente, el rendimiento profesional de los candidatos.

Solo se podrá realizar una elaboración de perfiles si se aplican medidas de seguridad adecuadas:

TRATAMIENTO MEDIDAS DE SEGURIDAD
Licitud
  • Consentimiento explícito del interesado
  • Contrato con el interesado
Información al interesado
  • Lógica aplicada para el tratamiento de los datos
  • Importancia y consecuencias previstas para el interesado

Estas medidas se aplican al CANDIDATO en el momento de su registro en la plataforma.

5.4. GRUPO DE EMPRESAS

Cuando existan varios responsables del tratamiento que pertenezcan a un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. Un grupo de empresas comprende una empresa que ejerce el control y las empresas controladas.

En el caso de FILMIJOB, como se ha mencionado anteriormente, se trata de una empresa participada por el Grupo CATENON. A consecuencia de ello, en aquellos casos en los que la firma del contrato se realice con CATENON, sí que se aplican los siguientes mecanismos de seguridad:

TRATAMIENTO MEDIDAS DE SEGURIDAD
Garantías de cumplimiento
  • Adhesión a normas corporativas vinculantes aprobadas por la Autoridad de control (AEPD)
Derechos del interesado
  • Derechos exigibles y vinculantes al grupo de empresas
Destinatarios de datos
  • La transmisión de datos entre miembros del grupo de empresas no será considerada como Destinatarios de datos.

5.5. DATOS DE TITULARIDAD O INTERÉS PÚBLICO

La categoría de interés público corresponde a las siguientes operaciones de tratamiento:

  • Realizadas por Autoridades u Organismos públicos en el ejercicio de sus funciones.
  • Con finalidades de interés público fundamentados en la legislación vigente.
  • Con finalidades de investigación histórica, estadística o científica. El servicio de FILMIJOB incluye una sección de Métricas donde se recopilan con fines estadísticos los informes de funcionamiento y uso de la herramienta. Sin embargo, se lleva a cabo sin explicitar datos concretos que permitan la identificación de ningún interesado, con lo que no aplica esta categoría.

Las medidas de seguridad para esta categoría incluyen básicamente el tratamiento fundamentado en la legislación vigente.

O

6. Implantación mecanismos de seguridad

Los interesados tendrán derecho, siempre que lo permita la legislación vigente, a ser informados del tratamiento de sus datos personales y a obtener por parte del Responsable del tratamiento el gobierno de los mismos.

Para ello, se ha implementado una política de información para el interesado, donde se establece la manera de comunicar los derechos y la forma de ejercerlos. Este documento se puede consultar en el ANEXO 3: POLÍTICA DE INFORMACIÓN.

6.1. COMUNICACIÓN DE LOS DERECHOS DEL INTERESADO

El interesado dispone a través de la plataforma y en todo momento de información clara y transparente del tratamiento de sus datos, que incluye los derechos que le otorga el Reglamento. Para ello, se pone en conocimiento del interesado los derechos que le asisten. Éstos son:

-En cualquier tratamiento:

  • Acceso: facilitar información del tratamiento. El interesado puede acceder a sus datos siempre que lo desee entrando en su perfil. En su perfil dispondrá de un botón con el título “Actividades de tratamiento”, donde podrá ver quién ha participado en el tratamiento de sus datos y todo el tratamiento que se haya realizado sobre éstos.
  • Rectificación: actualizar los datos inexactos o incompletos. El interesado dispone de todo el control sobre sus datos y podrá actualizar o modificar el contenido de su perfil siempre que lo desee.
  • Supresión: eliminar los datos. Al igual que puede actualizar el contenido de su perfil, también puede eliminarlo, ya sea borrando datos concretos o su perfil de la plataforma, lo que conlleva la supresión total de los datos.
  • Limitación: marcado de datos para restringir parte del tratamiento. El tratamiento de los datos se restringe sólo a aquellos puntos de venta para los que el candidato ha mostrado interés, indicándolo de manera explícita al seleccionarlos.
  • Oposición: no proseguir con el tratamiento. El tratamiento de los datos es imprescindible para evaluar la idoneidad del candidato con los puestos vacantes. Para ejercer su derecho de oposición el candidato deberá de eliminar su perfil de la plataforma, ya sea realizando esta acción manualmente o solicitándolo tanto al Responsable de tratamiento como al encargado de tratamiento con un email habilitado a tal efecto.

-En tratamientos automatizados específicos:

  • Portabilidad: transmisión de datos a otro proveedor de servicios o al mismo interesado.
  • Elaboración de perfiles: oponerse a un tratamiento cuya finalidad sea adoptar decisiones individuales destinadas a evaluar, analizar o predecir aspectos personales.

DERECHO PROCEDIMIENTO OBSERVACIONES
Acceso
  • Comprobar si se realiza un tratamiento de datos personales
  • Comunicar la resolución al interesado
Datos que se deben de comunicar al interesado:

  • Fines del tratamiento
  • Categorías de los datos que se trate
  • Plazo o criterios de conservación(18 meses)
  • Derechos de Rectificación, supresión, limitación u oposición al tratamiento
  • Derecho a presentar una reclamación a la Autoridad de control.
  • Cuando exista transferencia internacional de datos: información de las garantías apropiadas de protección de datos.
  • Cuando se elaboren perfiles: información significativa sobre la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el interesado

DERECHO PROCEDIMIENTO
Rectificación
  • Rectificar los datos inexactos o incompletos
  • Comunicar la resolución al interesado
  • Comunicar la rectificación a los destinatarios que haya cedido datos.

DERECHO PROCEDIMIENTO OBSERVACIONES
Supresión
  • Suprimir los datos, excepto si existen motivos legítimos para no hacerlo.
  • Comunicar la resolución al interesado.
  • Comunicar la supresión a los destinatarios que haya cedido los datos.
Derecho de supresión:

  • Tratamiento sea ilícito
  • El interesado haya retirado su consentimiento

DERECHO PROCEDIMIENTO OBSERVACIONES
Limitación
  • Limitar el tratamiento
  • Comunicar la resolución al interesado
  • Comunicar la limitación del tratamiento a los destinatarios que haya cedido los datos.
Derecho a restringir el tratamiento:

  • El tratamiento sea lícito y el interesado se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso.

DERECHO PROCEDIMIENTO OBSERVACIONES
Oposición
  • Cancelar el tratamiento de datos
  • Comunicar la resolución al interesado
  • Comunicar la oposición a los destinatarios a los que haya cedido los datos.
Derecho a oponerse al tratamiento:

  • Elaboración de perfiles (algoritmo)
  • Investigación histórica, estadística o científica (métricas)

DERECHO PROCEDIMIENTO OBSERVACIONES
Portabilidad
  • Transmisión de datos a otro proveedor de servicios o al mismo interesado
  • Comunicar la resolución al interesado
Derecho a la transmisión de datos:

  • El tratamiento esté estructurado de forma automatizada y se base en:
    • El consentimiento del interesado
    • Contrato con el interesado

DERECHO PROCEDIMIENTO OBSERVACIONES
Perfiles
  • Cancelar el tratamiento de la elaboración de perfiles
  • Comunicar la resolución al interesado
Derecho a no ser objeto de elaboración de perfiles:

  • El tratamiento esté estructurado de forma automatizada y se base en adoptar decisiones a evaluar, analizar o predecir el rendimiento profesional.

No se aplicará el derecho cuando:

  • El tratamiento esté estructurado de forma automatizada y la decisión que pueda ser tomada a consecuencia de la misma esté autorizada mediante:
    • El consentimiento explícito del interesado
    • Un tratamiento fundamentado en la legislación vigente.

6.2. MEDIDAS PARA PROTEGER LOS DERECHOS DEL INTERESADO

El Responsable del tratamiento deberá prever que se puedan ejercer los derechos del interesado en cualquier fase del tratamiento. Para ello, el Reglamento establece que se deberán adoptar las siguientes medidas de protección:

6.2.1. DESDE EL DISEÑO Y POR DEFECTO

El Responsable del tratamiento deberá diseñar las operaciones de tratamiento implementando medidas técnicas y organizativas adecuadas para garantizar que el interesado pueda ejercer sus derechos. El diseño del tratamiento también debe incorporar soluciones para darles curso:

  • Revocación: Retirar en cualquier momento el consentimiento dado, sin que afecte al tratamiento efectuado hasta entonces.
  • Reclamación: Informar del derecho a presentar una reclamación ante la Autoridad de control si considera que el tratamiento no se ajusta al Reglamento.

6.2.2. ENCARGADOS DEL TRATAMIENTO

El Responsable del tratamiento deberá asegurarse de que los Encargados del tratamiento contratados ofrecen suficientes garantías para proteger los derechos del interesado y disponer una cláusula, en los contratos de prestación de servicios, que les obligue a crear las condiciones técnicas y organizativas necesarias para permitirle dar curso a las solicitudes de los derechos de los interesados.

6.2.3. TRANSFERENCIAS INTERNACIONALES DE DATOS

En ausencia de una decisión de adecuación, el Responsable del tratamiento sólo podrá realizar transferencias internacionales de datos a países u organizaciones internacionales que dispongan de recursos legales para ejercer los derechos de los interesados.

6.3. PROTOCOLO PARA ATENDER LOS DERECHOS DEL INTERESADO

El Responsable del tratamiento deberá crear un procedimiento para dar curso a los derechos de los interesados de manera que pueda responder las solicitudes sin demora y garantizar que se ejecutan los derechos conforme el Reglamento. Para ello ha establecido un protocolo de registro y resolución de las peticiones, que se puede consultar en profundidad en el ANEXO 3: POLÍTICA DE INFORMACIÓN.

6.4. REGISTRO DE PETICIONES

Este registro deberá contener, como mínimo:

  • Fecha de la solicitud
  • La identidad del solicitante
  • Formato de la solicitud (electrónico, carta, etc.)
  • Descripción de la solicitud
  • Ficheros afectados
  • Persona o equipo encargado de resolver la solicitud
  • Medidas tomadas
  • Resolución de la solicitud
  • Fecha de comunicación al interesado
  • Formato de la comunicación  (electrónico, carta, etc.)

6.5. SANCIONES POR NO ATENDER A LOS DERECHOS DEL INTERESADO

La no atención o comunicación de los derechos del interesado es considerada una infracción grave del Reglamento y puede acarrear, según estime la Autoridad de control en cada caso individual, una multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 2% del volumen de negocio total anual global del ejercicio financiero anterior.

O

7. Documentación para garantizar el cumplimiento

Las garantías de cumplimiento que prevé el Reglamento son:

  • Mecanismos de certificación: Para Responsables o Encargados del tratamiento a título individual (Certificados, Sellos y Marcas de protección de datos).
  • Códigos de conducta: Para asociaciones u organismos que representen categorías de Responsables o Encargados del tratamiento.
  • Normas corporativas vinculantes: Para grupos empresariales o unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.

FILMIJOB podrá emitir por su cuenta un certificado que garantice el cumplimiento de las disposiciones establecidas en el Reglamento. Para ello, se deberán de crear diversos protocolos de actuación con el fin de poder garantizar la protección de datos en todas las fases del tratamiento:

  • Principios del tratamiento (responsabilidad proactiva)
  • Responsabilidad del tratamiento (registro de las actividades)
  • Política de información (información y comunicación al interesado)
  • Política de seguridad (análisis de riesgos y evaluación del impacto)
  • Medidas de protección de datos (actuaciones específicas de seguridad)

Aunque los informes anteriormente descritos son de obligado cumplimiento para Responsables o Encargados del tratamiento, existen otro tipo de informes que serán de gran utilidad para poder garantizar la protección de datos. Estos son:

  • Protocolo para la atención de los derechos del interesado, incluído en la política de información.
  • Registro de acuerdos de confidencialidad con el personal autorizado, que serán almacenados de manera virtual de modo que el Responsable de tratamiento o los interesados que lo deseen puedan consultarlos.
  • Registro de contratos de protección de datos con empresas externas. En el caso presente, el acuerdo será únicamente entre FILMIJOB o CATENON con el CLIENTE. Este contrato incluye una cláusula de protección de datos.
  • Registro de violaciones de seguridad (documentación, resolución y notificación).
  • Auditoría de cumplimiento del GDPR. Todas las auditorías de cumplimiento serán publicadas en la plataforma web corporativa de FILMIJOB. Concretamente, la información se ubicará en http://www.filmijob.com/home/GDPR
  • Medidas correctivas a implementar. Cada auditoría incluirá un anexo de Medidas correctivas a implementar, con lo que estas podrán ser consultadas también siguiendo el enlace mencionado en el punto anterior.

Para la emisión del certificado de cumplimiento por parte de FILMIJOB, se procede a desglosar en los ANEXOS los mencionados protocolos.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies