Bové Montero
Bové Montero Cerrar

Política de Privacitat

  1. Pàgina d'inici
  2. Política de Privacitat

Introducció

L’objectiu d’aquesta Política és establir les directrius que tots els nivells de l’Empresa hauran de seguir en matèria de Protecció de Dades de caràcter Personal.

Aquesta Política conté una descripció dels elements clau, tant humans com organitzatius, tecnològics i documentals, que l’Empresa aplica per protegir les dades de caràcter personal, evitant que es produeixin vulneracions dels drets i llibertats dels interessats.

A tots els nivells de l’Empresa es vetllarà per l’aplicació real i efectiva de les directrius establertes en aquesta Política en matèria de protecció de dades, de manera que aquest sistema d’autorregulació aconsegueixi l’eliminació de comportaments que podrien posar en risc les dades personals tractades per l’Empresa.

1. Àmbit d’aplicació

  • Àmbit societari. Aquesta Política serà aplicable a BOVÉ MONTERO Y ASOCIADOS, S.L. (d’ara endavant, “l’entitat”).
  • Àmbit personal. Aquesta Política serà aplicable a tots els nivells de l’entitat, incloent els òrgans d’administració, els càrrecs directius, els òrgans de control i la totalitat del personal.
  • Àmbit relacional. L’àmbit d’aplicació d’aquesta Política s’estendrà, en la mesura del possible, als proveïdors, assessors, clients i altres tercers de l’Empresa.
  • Àmbit geogràfic. Aquesta Política s’aplicarà a les relacions públiques i privades que l’Empresa estableixi en qualsevol àmbit geogràfic.

2. Normativa aplicable

Aquesta Política està adaptada a la següent normativa:

  • Reglament General de Protecció de Dades de la UE (RGPD)
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals
  • Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic
  • Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge

Es faran les adaptacions necessàries d’aquesta Política en funció dels canvis legislatius que es produeixin, així com dels criteris establerts en:

  • Les guies, informes i resolucions de l’Agència Espanyola de Protecció de Dades
  • Les guies, informes i resolucions de les autoritats de control dels altres Estats membres de la Unió Europea
  • El Grup de Treball de l’Article 29
  • Les sentències del Tribunal de Justícia de la Unió Europea
  • Les sentències de l’Audiència Nacional, el Tribunal Suprem i el Tribunal Constitucional

3. Riscos del negoci en matèria de protecció de dades

L’Empresa desenvolupa la seva activitat principal com a empresa que presta serveis en l’àmbit de l’auditoria, consultoria, assessorament comptable, jurídic-tributari i laboral.

La naturalesa especial de les dades personals, la complexitat de la normativa aplicable i la quantia de les sancions establertes generen riscos com:

  • L’accés no autoritzat
  • La còpia no autoritzada
  • La comunicació o cessió a tercers
  • Altres infraccions previstes en el RGPD i la normativa local

Els riscos derivats de l’incompliment de les obligacions legals en matèria de protecció de dades inclouen:

  • Sancions administratives
  • Delictes contra la intimitat
  • Indemnitzacions per danys i perjudicis
  • Danys reputacionals

La protecció de les dades personals és un dels valors de l’entitat i un objectiu prioritari de l’Empresa, que exigeix una sèrie de mesures jurídiques, tècniques i organitzatives, resumides en aquesta Política i detallades en les seves normes i procediments propis.

4. Objectius de la protecció de dades

Els objectius de l’Empresa en matèria de protecció de dades estan alineats amb els objectius de negoci, donant prioritat al compliment de les obligacions legals aplicables a la seva activitat.

La protecció de dades es considera un avantatge competitiu, ja que permet diferenciar l’Empresa d’altres competidors que no respectin la privacitat dels seus clients i col·laboradors o que tractin inadequadament les seves dades, assumint el risc de sancions econòmiques importants amb gran impacte reputacional.

Es considerarà un objectiu prioritari el compliment del Reglament General de Protecció de Dades de la Unió Europea (RGPD) i de la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals.

A tots els nivells de l’Empresa hi haurà el compromís de complir els objectius establerts en matèria de protecció de dades, així com els principis i obligacions d’aquesta Política.

L’Empresa podrà elaborar normes i procediments que desenvolupin i detallin aquesta Política.

5. Principis de la protecció de dades

L’estratègia de l’Empresa en matèria de protecció de dades complirà els principis que es descriuen a continuació:

  • Principi de licitud: el tractament de dades personals serà lícit si es basa en el consentiment de l’interessat o en alguna altra base de legitimació establerta en la Llei.
  • Principi de transparència: l’interessat haurà de ser informat de totes les circumstàncies relatives al tractament.
  • Principi de lleialtat: les dades personals no podran ser tractades en circumstàncies diferents de les informades.
  • Principi de limitació de la finalitat: les dades personals seran recollides amb finalitats determinades, explícites i legítimes, i no seran tractades posteriorment de manera incompatible amb aquestes finalitats.
  • Principi de minimització de dades: les dades personals hauran de ser adequades, pertinents i limitades a allò necessari en relació amb les finalitats per a les quals són tractades. Aquest principi i l’anterior es desenvolupen en els principis de necessitat i proporcionalitat que s’apliquen a les avaluacions d’impacte.
  • Principi d’exactitud: les dades personals hauran de ser exactes i, si fos necessari, actualitzades, adoptant totes les mesures raonables per a suprimir o rectificar sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.
  • Principi de limitació del termini de conservació: les dades personals hauran de ser mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per a les finalitats del tractament.
  • Principi d’integritat i confidencialitat: les dades personals hauran de ser tractades de manera que es garanteixi una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades. Les dades personals només seran accessibles per als usuaris autoritzats i no podran ser comunicades a tercers sense l’autorització corresponent.
  • Principi de responsabilitat proactiva: l’Empresa serà responsable del compliment del que disposa la normativa de protecció de dades i haurà de ser capaç de demostrar aquest compliment.
  • Protecció de dades des del disseny i per defecte: en els nous tractaments, projectes, serveis i productes es farà una avaluació prèvia del seu impacte en matèria de protecció de dades.

6. Rols i responsabilitats

Tots els rols i responsabilitats estaran diferenciats i, en la mesura del possible, s’assignaran de manera individualitzada en la descripció del lloc de treball. A més d’aquesta assignació individualitzada, totes les persones que pertanyin a l’Empresa, sigui quin sigui el seu nivell, estaran obligades a complir les normes, procediments i controls establerts en matèria de seguretat de la informació.

La màxima responsabilitat del control en matèria de protecció de dades correspondrà al Comitè de Protecció de Dades i Seguretat de la Informació.

L’entitat disposa de normes i procediments en els quals s’estableixen les obligacions del personal en matèria de protecció de dades.

L’Empresa adoptarà les mesures necessàries perquè el personal conegui, de manera comprensible, les obligacions en matèria de protecció de dades que afecten el desenvolupament de les seves funcions, així com les conseqüències del seu incompliment.

7. Registre d’Activitats del Tractament

L’Empresa disposarà d’un registre de tractaments en el qual constaran els detalls dels tractaments autoritzats com a Responsable del Tractament, així com un altre registre dels tractaments realitzats com a Encarregat del Tractament.

D’acord amb el principi de privacitat des del disseny i per defecte, i donada la impossibilitat que els òrgans de control coneguin totes i cadascuna de les activitats relacionades amb dades personals que es duen a terme en cada departament, cada nou tractament o cada modificació dels atributs i característiques assignats al mateix en el registre de tractaments haurà de ser comunicat al Responsable de Protecció de Dades, amb la finalitat que l’avaluï i l’autoritzi en cas que no suposi un risc per als drets i llibertats dels interessats.

Així mateix, l’Empresa informarà del tractament de les dades personals a tots els interessats mitjançant les clàusules informatives i de consentiment, de conformitat amb els articles 13 i 14 del RGPD.

8. Anàlisi de riscos

Tots els tractaments subjectes a aquesta Política de Seguretat hauran de passar per una anàlisi de risc, avaluant les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà periòdicament.

L’Empresa realitzarà periòdicament una anàlisi dels riscos i amenaces que afectin la protecció de dades.

L’anàlisi de riscos es durà a terme mitjançant un mapa de riscos inherents, en el qual s’avaluaran els riscos bruts existents abans de l’aplicació dels controls de prevenció, detecció i mitigació. Posteriorment, es crearà un mapa de riscos residuals, en el qual s’avaluaran de manera automatitzada els riscos nets existents després de l’aplicació dels controls.

9. Pautes per minimitzar els riscos

Per a la gestió i minimització de riscos, l’entitat aplicarà mesures de seguretat físiques, en el personal, administratives i en la xarxa, com ara:

Seguretat d’accés lògic: L’Empresa aplica mesures de seguretat per protegir els accessos lògics.

Accés lògic de les persones als sistemes informàtics: L’entitat aplicarà un sistema d’autenticació en dos factors. D’una banda, l’usuari serà assignat per l’Administrador del Sistema i serà el propi usuari qui establirà la seva pròpia contrasenya. D’altra banda, l’usuari rebrà un codi per validar aquesta autenticació.

La contrasenya sempre serà inintel·ligible, fins i tot per a l’Administrador. En cas necessari (per exemple, si l’usuari l’ha oblidat), l’Administrador del Sistema podrà forçar un procés de canvi de contrasenya per part de l’usuari sense necessitat de conèixer l’anterior.

Control d’accés a dades i recursos:

L’Empresa elaborarà les normes i procediments que desenvolupin, concretin i detallin les mesures de control indicades en aquest apartat.

Sistemes operatius: Tots els sistemes operatius utilitzats en els sistemes informàtics de l’Empresa requeriran validació i autenticació per al seu accés i ús.

Virus i malware: Tots els ordinadors de l’Empresa tindran instal·lat un programari antivirus i antimalware, que s’actualitzarà periòdicament. També es disposarà de firewalls que controlin el trànsit de xarxa i incloguin detecció d’intrusions no autoritzades.

Els usuaris seran informats puntualment sobre les mesures bàsiques a seguir per prevenir l’entrada de virus i malware.

Gestió d’Usuaris: S’haurà d’actualitzar la relació de tots els usuaris de la xarxa que tenen accés autoritzat al sistema d’informació, amb la delimitació dels seus nivells d’accés per tal de garantir-ne la confidencialitat i la integritat. A més, l’Empresa realitzarà controls d’accés i monitorització dels sistemes informàtics posats a disposició dels treballadors per protegir la informació.

Limitació d’accés: Per accedir als recursos informàtics és necessari tenir assignada prèviament un compte d’usuari i estar donat d’alta en els servidors de domini. L’autorització de l’accés establirà el perfil necessari amb el qual es configuraran les funcionalitats i privilegis disponibles en les aplicacions segons les competències de cada usuari, adoptant una política d’assignació de privilegis mínims necessaris per a la realització de les funcions encomanades. A més, s’utilitza el factor d’autenticació en dos passos per accedir als servidors de domini.

Seguretat Wi-Fi i xarxes sense fils: L’Empresa aplicarà les mesures adequades per protegir l’accés indegut a la Wi-Fi de l’entitat.

Servidors i suports físics: Tota la informació confidencial, així com les dades de caràcter personal, s’emmagatzemen en servidors de proveïdors externs que ofereixen un nivell adequat de compliment en matèria de protecció de dades i seguretat de la informació.

Còpies de seguretat: Totes les còpies de seguretat realitzades per tercers inclouran tota la informació necessària per recuperar el servei en cas de corrupció o pèrdua de la informació (dades, programes, fitxers de configuració i, fins i tot, la imatge d’alguns servidors). Així mateix, es disposarà de protocols relatius a les còpies de seguretat i a la recuperació de dades.

Per a tots els sistemes rellevants es definiran els estàndards de seguretat, que inclouran, com a mínim, la següent informació: periodicitat de les còpies de seguretat, períodes de retenció de les còpies, ubicació dels suports de seguretat, procediments de recuperació de la informació, procediments de restauració i verificació de la integritat de la informació emmagatzemada.

Autenticació: Els codis d’usuari i contrasenyes són personals i intransferibles, i l’usuari serà l’únic responsable de les conseqüències que puguin derivar-se del seu mal ús, divulgació o pèrdua.

Seguretat en el lloc de treball: Es comunicarà als treballadors les normes establertes per l’Empresa en relació amb la seguretat en el lloc de treball, entre les quals destaquen el bloqueig automàtic de dispositius que requereixi activació a través de contrasenya després de certs minuts d’inactivitat, així com l’aplicació d’una política de taula neta (paper zero) en els espais de treball.

Dispositius mòbils: L’Empresa establirà les mesures de seguretat oportunes per als dispositius mòbils corporatius.

Aquells usuaris que tinguin assignats dispositius mòbils corporatius hauran de complir les normes d’ús específiques i aplicar les corresponents mesures de seguretat.

 

 

4o

10. Obligacions contractuals

A més dels requisits legals en matèria de protecció de dades, l’Empresa estarà també obligada a complir els requisits específics de protecció de dades que li exigeixin els seus clients i proveïdors en relació amb les dades de caràcter personal a les quals accedeixin en virtut de les seves relacions contractuals amb ells.

L’Empresa prestarà especial atenció a les obligacions contractuals derivades del tractament de dades personals.

L’Empresa crearà i mantindrà actualitzat un registre en el qual identificarà i prioritzarà les obligacions relacionades amb la protecció de les dades personals a les quals accedeixi o tracti.

L’Empresa verificarà periòdicament que les obligacions contractuals assumides en matèria de protecció de dades siguin conegudes a tots els nivells de l’Empresa.

11. Control de proveïdors des del punt de vista de la privacitat

L’Empresa elaborarà un registre de tots els proveïdors que tractin dades personals per compte de l’Empresa o que tinguin accés directe o indirecte a dades personals gestionades per l’Empresa.

En el cas que sigui necessari contractar un nou servei que requereixi el tractament de dades, l’Empresa durà a terme una selecció de proveïdors i un procés d’avaluació tenint en compte les garanties exigides per la Llei en matèria de protecció de dades.

En aquesta avaluació es donarà prioritat als proveïdors que ofereixin majors garanties en matèria de protecció de dades.

La relació amb els proveïdors que tractin o que tinguin accés directe o indirecte a dades personals estarà regulada sempre mitjançant un contracte que inclourà una secció específica sobre les obligacions que haurà de complir el proveïdor. Aquestes obligacions inclouran, com a mínim, les establertes en l’article 28 del RGPD.

12. Terminis de conservació de dades

L’Empresa conservarà les dades personals de manera que es permeti la identificació dels interessats només durant el temps necessari per als fins del tractament d’aquestes dades. Per aquest motiu, l’Empresa elaborarà i mantindrà actualitzada una taula en la qual establirà el termini de conservació de les dades que hagi de conservar o que consideri convenient mantenir.

En l’elaboració d’aquesta taula es tindran en compte els terminis de prescripció de les infraccions i les limitacions establertes pel RGPD i la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals. També es consideraran les obligacions legals, sectorials i contractuals que puguin requerir terminis de conservació superiors.

L’Empresa també haurà de tenir en compte els terminis indicats als interessats en el moment d’informar-los sobre els seus drets.

Pel que fa a la destrucció de la documentació, s’haurà de realitzar de manera que es garanteixi la confidencialitat durant tot el procés.

13. Gestió de bretxes i incidents de seguretat

Qualsevol situació que pugui comprometre la confidencialitat, integritat, disponibilitat, autenticitat o traçabilitat de la informació de l’Empresa es considerarà una bretxa de seguretat.

Per això, l’Empresa haurà d’establir les mesures oportunes en matèria de ciberseguretat, que inclouran la protecció davant d’amenaces provinents de les xarxes de comunicacions, com ara els ciberatacs, els atacs de denegació de servei, els accessos no autoritzats i el segrest de sistemes o ransomware, entre d’altres.

Qualsevol persona que tingui coneixement o sospita d’algun incident que pugui afectar la protecció de les dades haurà de comunicar-ho immediatament a través dels canals establerts per a aquest efecte.

En el cas que la bretxa o l’incident de seguretat pugui suposar un risc per als drets i llibertats de les persones físiques, s’haurà de notificar, com a màxim en 72 hores des que se’n tingui constància, a l’Autoritat de Control competent, és a dir, l’Agència Espanyola de Protecció de Dades.

L’entitat disposa d’un protocol en el qual es defineix la sistemàtica seguida per a la notificació i la gestió d’incidents i vulnerabilitats de seguretat, amb l’objectiu d’assegurar que els incidents de seguretat i les debilitats associades als sistemes d’informació es registrin i es tractin adequadament, mitjançant les activitats de reparació i resolució corresponents, així com la restauració dels nivells normals de funcionament dels serveis afectats, podent adoptar accions correctores per eliminar-ne les causes i prevenir-los en el futur.

14. Formació i conscienciació

Tot el personal de l’entitat té l’obligació de conèixer i complir la Política de Protecció de Dades. Per això, l’Empresa promourà una activitat constant de formació i conscienciació en tots els nivells de l’empresa en matèria de protecció de dades.

La formació podrà basar-se en sessions presencials o en cursos d’e-Learning.

La conscienciació podrà basar-se en qualsevol tipus de materials i instruments de comunicació i formació que permetin conscienciar sobre els riscos d’infracció a tots els nivells de l’empresa.

Cada treballador serà responsable de complir amb aquesta política i els protocols que se’n derivin segons el seu lloc de treball, així com de notificar les incidències de seguretat que es detectin.

15. Prevenció d’infraccions

El principal objectiu de l’Empresa amb aquesta Política i les seves normes, procediments i controls que la desenvolupen, és prevenir infraccions dels drets i llibertats dels interessats i complir amb la normativa de protecció de dades de caràcter personal.

El principal marc de referència que es tindrà en compte per complir aquest objectiu serà el RGPD, que estableix dos grups d’infraccions: les greus i les molt greus.

A les infraccions greus se’ls podran aplicar sancions de fins a 10 milions d’euros o el 2% de la xifra de negoci anual global de l’Empresa. En aquest grup s’inclourien, per exemple, mesures tècniques o organitzatives inadequades, contractació d’encarregats del tractament sense garanties suficients, manca de notificació d’una violació de dades, etc. A les infraccions molt greus se’ls podran aplicar sancions de fins a 20 milions d’euros o el 4% de la xifra de negoci anual global de l’Empresa. En aquesta categoria s’inclourien els casos de tractament il·lícit, consentiment il·lícit, vulneració del deure de confidencialitat, etc.

16. Actualització i millora d’aquesta Política

Aquesta Política s’actualitzarà periòdicament amb la finalitat de reflectir els canvis i millores en matèria de protecció de dades. BOVE MONTERO Y ASOCIADOS, S.L. realitzarà una verificació periòdica de l’aplicació de les mesures de prevenció i control, i proposarà les modificacions oportunes que es requereixin en cas de detectar infraccions rellevants d’aquesta política, canvis significatius, o canvis en els sistemes d’informació de l’entitat.