Política LOPD

Cumplimiento de la legislación en materia de protección de datos, Reglamento General de Protección de Datos (UE) 679/2016 y Ley Orgánica 3/2018 de protección de datos, en Previntegral.

1 – Introducción

El Reglamento General de Protección de Datos (UE) 679/2016 (RGPD) establece los requisitos legales para cualquier tratamiento de datos personales en la Unión Europea. Es directamente aplicable a todos los Estados miembros.

La Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), desarrolla y complementa el RGPD en España, así como el funcionamiento de la autoridad supervisora: la Agencia Española de Protección de Datos.

El presente documento contiene información sobre el cumplimiento de la normativa vigente en materia de protección de datos personales en el marco de las actividades y servicios de PREVINTEGRAL, y está dirigido a los clientes y posibles clientes de la entidad.

2 – Servicios de PREVINTEGRAL y su función como responsable del tratamiento de datos

Previntegral es un servicio de prevención externo (SPE) y cuenta con los recursos humanos y materiales necesarios para ayudar a sus empresas clientes a garantizar la protección adecuada de la seguridad y la salud de los trabajadores.

Desde el punto de vista de la legislación en materia de protección de datos, Previntegral actúa como responsable del tratamiento y está autorizada a tratar los datos con el fin de ejecutar el contrato de prestación de servicios y cumplir con sus obligaciones legales como servicio de prevención.

En relación con el punto anterior, la AEPD ha analizado en diversos dictámenes y directrices si la función de los servicios de prevención externos era la de responsable o encargado del tratamiento, estableciendo claramente la condición de responsable del tratamiento para estos casos. Véase, por ejemplo:

Informe 0608/2009 del Departamento Jurídico de la AEPD
Dictamen Jurídico 112/2008 de la Oficina Jurídica de la AEPD
Guía “Protección de datos en las relaciones laborales”, AEPD, mayo de 2021, que establece (páginas 76 y 75):

La condición de responsable del tratamiento varía en función de si se trata de un servicio de prevención interno, externo o compartido (...). El servicio de prevención externo será el responsable del tratamiento. En estos casos existe una separación completa entre la empresa y el servicio de prevención.

La relación entre la empresa y el servicio de prevención requerirá el tratamiento de datos, concretamente la comunicación de datos relativos a los trabajadores, que no requieren consentimiento porque la base jurídica es una obligación legal: la prevención de riesgos laborales.

Del mismo modo, el servicio de vigilancia de la salud de los trabajadores también actúa como autoridad responsable.

Por las razones expuestas anteriormente, Previntegral no celebra acuerdos de procesamiento de datos con sus clientes, a menos que estos proporcionen pruebas específicas y fundamentadas de dicha relación de procesamiento, así como del procesamiento de datos en cuestión.

3 – Aplicación de los requisitos del RGPD a Previntegral

Previntegral cumple con la legislación en materia de protección de datos, el RGPD y la LOPDGDD, incluyendo lo siguiente:

(i) el tratamiento de los datos de conformidad con las bases legales establecidas en los artículos 6, 9 y 10 del RGPD
(ii) procedimientos para garantizar la transparencia de la protección de datos y el ejercicio de los derechos de conformidad con los artículos 13 a 22 del RGPD.
iii) asesoramiento especializado para garantizar la protección de datos desde el diseño y por defecto, tal y como se establece en el artículo 25 del RGPD.
(v) formalización de contratos de encargado del tratamiento de datos cuando proceda, de conformidad con el artículo 28 del RGPD.
(vi) registro de las actividades de tratamiento de conformidad con el artículo 30 del RGPD.
(vii) medidas de seguridad y procedimientos de auditoría de conformidad con el artículo 32 del RGPD.
(viii) procedimientos para garantizar la comunicación de una violación de datos de conformidad con los artículos 33 y 34 del RGPD. Notificaciones a las autoridades de protección de datos (la Agencia Española de Protección de Datos) y a las personas cuyos datos se hayan visto comprometidos por violaciones de la seguridad de los datos (artículos 33 y 34 del RGPD), salvo que dichas violaciones no supongan ningún riesgo para las personas.
(ix) llevar a cabo una evaluación de riesgos y/o una evaluación de impacto y consultas previas de conformidad con los artículos 25, 35 y 36 del RGPD.
(x) Designación del responsable interno de protección de datos, con correo electrónico de contacto rgpd@previntegral.com
(xi) Las personas autorizadas para tratar datos personales se comprometen expresamente y por escrito a respetar la confidencialidad de los datos personales y a cumplir las medidas de seguridad adecuadas, de las que han sido debidamente informadas.
(xii) Responsabilidad proactiva para garantizar el cumplimiento de la protección de datos (artículo 5 del RGPD).

4 – Puntos de contacto para la protección de datos

Para cualquier consulta sobre este asunto, póngase en contacto con rgpd@previntegral.com.

5 – Anexo Medidas de seguridad aplicadas

En cumplimiento de la estricta legislación española y europea en materia de protección de datos, Previntegral ha implementado las siguientes medidas de seguridad:

Política de seguridad de la información y protocolos de seguridad documentados. Previntegral documenta las prácticas y procedimientos de seguridad que debe seguir el personal.
Deberes y obligaciones del personal: El personal de Previntegral recibe la formación necesaria en materia de protección de datos.
Gestión de incidentes: los incidentes que podrían dar lugar a una violación de datos son gestionados por el departamento de TI del grupo.
Identificación y autenticación: procedimientos de identificación y autenticación basados en contraseñas o mecanismos similares. Existe un proceso para asignar, distribuir y almacenar contraseñas que garantiza su confidencialidad, integridad e identificación individual para los usuarios, así como su almacenamiento ininteligible.
Control de acceso: el personal solo está autorizado a acceder a los recursos necesarios para llevar a cabo sus tareas. El acceso privilegiado se limita al personal que lo requiere de acuerdo con sus funciones.
Control de acceso físico: la infraestructura que presta el servicio se encuentra en unas instalaciones equipadas con sistemas de control de acceso y de supervisión y control para garantizar que solo el personal autorizado tenga acceso.
Deber de confidencialidad: obligatorio para todo el personal y por escrito, en relación con los datos personales.
Administración de dispositivos: gestión e inventario de dispositivos (ordenadores, dispositivos móviles, etc.), incluidos mecanismos para restringir el acceso y cifrar la información en dispositivos móviles inteligentes.
Eliminación de datos: medidas para la destrucción de documentos y soportes electrónicos.
Copias de seguridad y recuperación: copias de seguridad diarias. Las copias de seguridad se almacenan en diferentes ubicaciones.
Cifrado en la transmisión a través de redes públicas e inalámbricas, certificados SSL para el tráfico web con datos personales y otra información confidencial.

Seguridad en el trabajo

Higiene industrial

Ergonomía

Riesgos psicosociales

Vigilancia de la salud

Reconocimientos médicos

Organización saludable

Pruebas preventivas

Campañas de salud

Formación de convenios

Formaciones: puesto de trabajo

Otras formaciones

Otras formaciones

Formación a medida

La empresa

Nuestro equipo

Delegaciones

Colaboradores