DECLARACIÓN DE CONFIDENCIALIDAD

La entrada en vigor del Reglamento (UE) 2016/679 «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos» (en lo sucesivo, «RGPD») ha supuesto una oportunidad para adecuar aún más las actividades realizadas por la Sociedad a los principios de transparencia y protección de los datos personales, al amparo de los derechos y las libertades fundamentales de todos los interesados, ya se trate de empleados, colaboradores, clientes, proveedores o terceros interesados en recibir información.

Así, Things Mobile ha instaurado un «Modelo Organizativo en materia de Confidencialidad» (MOP, por sus siglas en italiano) cuyas líneas generales se describen en la presente, encaminado a analizar todos los tratamientos de datos, a organizarlos de un modo funcional y a gestionarlos con seguridad y transparencia. En este apartado del sitio web se incluye además la información sobre los derechos del interesado y los procedimientos para ejercitarlos frente al Responsable.

El RESPONSABLE ha considerado oportuno nombrar a un «Equipo de confidencialidad» interno formado por sujetos internos y externos dotados de competencias organizativas, técnicas e informáticas.

El Equipo de confidencialidad tendrá la función de apoyar las actividades del RESPONSABLE.

 

El MOP contempla que cada empleado/colaborador del RESPONSABLE trate únicamente los datos indispensables para desempeñar sus funciones, de acuerdo con la organización interna y, sobre todo, con las finalidades indicadas y propuestas al interesado [el principio denominado de «limitación de la finalidad y minimización de datos», art. 5, apartado 1, letras b) y c), del RGPD]. Por lo tanto, se ha dispuesto una segmentación de los tratamientos por categorías homogéneas de sujetos autorizados para el tratamiento, asociando a los empleados/colaboradores de cada categoría a un ámbito específico de tratamiento. Cada sujeto autorizado ha recibido instrucciones específicas del RESPONSABLE en cuanto al tratamiento de los datos personales. A tal efecto, por su propio diseño, también el sistema de información está compuesto por «compartimentos estancos». El empleado/colaborador podrá acceder desde su puesto informático solo a los datos indispensables para desempeñar sus funciones. La asignación a las áreas de tratamiento específicas se efectuará tras un detenido análisis de la estructura y la organización empresarial, así como del flujo de datos internos y externos de la Sociedad, y se recogerá en el correspondiente organigrama interno, en el que se identificará puntualmente el ámbito de tratamiento de cada área.

El empleado/colaborador ha recibido además un reglamento interno sobre el uso de las herramientas informáticas y las reglas de conducta acerca de toda la información a la que acceda en virtud de su función específica.

Para garantizar de manera eficaz la adecuación a los principios de tratamiento de datos personales, el RESPONSABLE ha dispuesto además cursos de formación y actualización en la materia para sus empleados/colaboradores, que, en virtud de sus funciones, efectúan operaciones de tratamiento de datos personales.

El RESPONSABLE utiliza sistemas informáticos para gestionar y organizar sus actividades. Por este motivo, desde siempre sus actividades se fundamentan en la atención prestada al diseño de los programas informáticos, sus condiciones de uso y la seguridad de los datos. Los sujetos con privilegios de «administrador» internos de la empresa han sido específicamente nombrados y formados. También a las demás sociedades externas especializadas que acceden a datos empresariales se las nombra específicamente Encargados Externos o Administradores de Sistema Externos en virtud del art. 28 del RGPD.

Los proveedores de servicios informáticos externos son seleccionados con especial atención a su profesionalidad, no solo técnica, sino también en lo concerniente al respeto y la protección de los datos, dando preferencia a las empresas certificadas.

En principio, el RESPONSABLE gestionará internamente casi todas las actividades de tratamiento. En caso de externalización de ciertas actividades que impliquen un tratamiento de datos por cuenta del RESPONSABLE, estos se indicarán debidamente dentro de cada una de las declaraciones correspondientes. En tales supuestos, la relación con el tercero se regirá por un contrato específico de nombramiento como «Encargado del Tratamiento», en virtud del art. 28 del RGPD.

El RESPONSABLE confiará dicha actividad de tratamiento a sujetos externos que presenten garantías suficientes para aplicar medidas técnicas y organizativas adecuadas para satisfacer los requisitos dispuestos por el RGPD y garantizar la protección de los derechos de los interesados.

Según los principios de la denominada «responsabilidad proactiva», competerá al RESPONSABLE implementar una serie de medidas —organizativas, físicas, jurídicas, técnicas e informáticas— dirigidas a prevenir el riesgo de violación de los derechos y las libertades personales de los interesados. En aras de alcanzar este objetivo, se efectúa un análisis constante de riesgos en función de los tratamientos, las herramientas utilizadas y el tipo y el volumen de datos tratados.

El MOP prevé una atenta y constante evaluación de riesgos respecto al tratamiento de datos personales, identificados por cada actividad o servicio prestado a través de un Registro de las Actividades de Tratamiento con arreglo al art. 30, apartado 1, del RGPD.

Tras analizar la actividad de tratamiento desempeñada por el RESPONSABLE, se considera que a día de hoy no hay actividades de riesgo susceptibles de requerir una evaluación de impacto específica en virtud del artículo 35 del RGPD (la denominada, por sus siglas en inglés, «DPIA»).

La evaluación de los riesgos informáticos y de las correspondientes infraestructuras físicas y lógicas empresariales, así como de las medidas informáticas de adecuación, fue efectuada tanto por nuestro Administrador de Sistema, con las correspondientes herramientas y listas de control, como por una empresa externa especializada en seguridad informática, que realizó una auditoría exhaustiva, con pruebas de seguridad. Los resultados de dichas actividades permitieron a los técnicos mejorar adicionalmente las medidas de protección contra los ciberataques y las amenazas informáticas, gradual y proporcionalmente al riesgo para los derechos y las libertades de los interesados.

El interesado tendrá derecho a ser informado sobre cómo trata el RESPONSABLE sus datos personales, con qué finalidades y acerca de otras cuestiones previstas en el art. 13 del RGPD. A tal efecto, el RESPONSABLE ha dispuesto procesos organizativos que permiten, en el momento de la obtención o la solicitud de los datos personales, la emisión de un modelo de Declaración creado específicamente en función de la categoría a la que pertenece el interesado (empleado, cliente, proveedor, etc.). Este documento permite informar adecuadamente a todos los sujetos a los que conciernen los datos sobre cómo efectuará el tratamiento el RESPONSABLE. El modelo de declaración se podrá solicitar mediante la correspondiente petición dirigida al RESPONSABLE.

Usted tendrá derecho a retirar su consentimiento en cualquier momento respecto de todos aquellos tratamientos cuya legitimidad se base en la manifestación de dicho consentimiento. La retirada del consentimiento no redundará en menoscabo de la licitud de un tratamiento anterior.

Podrá solicitar: a) los fines del tratamiento; b) las categorías de datos personales de que se trate; c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales; d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de los datos personales que le conciernan, o a oponerse a dicho tratamiento; f) el derecho a presentar una reclamación ante una autoridad de control; g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Tendrá derecho a solicitar una copia de los datos personales objeto del tratamiento.    

Tendrá derecho a solicitar la rectificación de los datos personales inexactos que le conciernan y a que se completen los datos personales que sean incompletos.

Tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan si ya no son necesarios para las finalidades con las que se recogieron o trataron de otra manera, si retira el consentimiento, si no existen otros motivos legítimos para el tratamiento de elaboración de perfiles, si los datos han sido tratados ilícitamente, si existe una obligación legal de suprimirlos y si los datos atañen a servicios digitales prestados a menores sin el correspondiente consentimiento. La supresión se podrá efectuar salvo en caso de que prevalezca el derecho a la libertad de expresión e información, de que se conserven para el cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos o para la formulación, el ejercicio o la defensa de reclamaciones.

Tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando haya impugnado la exactitud de los datos personales (durante un plazo que permita al responsable verificar la exactitud de los mismos), si el tratamiento es ilícito, pero usted se opone a la supresión de los datos personales y solicita en su lugar la limitación de su uso, o si el responsable ya no necesita los datos personales, pero usted los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

Tendrá derecho a recibir los datos personales que le incumban, que nos haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable si el tratamiento está basado en el consentimiento o en un contrato o si el tratamiento se efectúa por medios automatizados, salvo en caso de que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos y de que dicha transmisión no afecte negativamente a los derechos de terceros.

 

Tendrá derecho a oponerse en cualquier momento, en todo o en parte, al tratamiento de sus datos personales si este se efectúa para la persecución de un interés legítimo del Responsable o bien con la finalidad de mercadotecnia directa.

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el reglamento de protección de datos.