POLÍTICA DE PROTECCIÓN DE DATOS

IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Nombre y datos de contacto del responsable del tratamiento:

  • Denominación social / Nombre y apellidos: IRON SALFER S.C.
  • CIF/NIF: J50158021
  • Actividad: Gimnasio
  • Teléfono de contacto: 622738739
  • Domicilio social: Calle la Paz 22, 50008, Zaragoza, (Zaragoza)
  • Domicilio a efecto de notificaciones: Calle la Paz 22, 50008, Zaragoza, (Zaragoza)
  • Dirección electrónica de contacto: oskar0009@hotmail.com
  • Página web (URL): https://ironsalfer.com/

Nombre y datos de contacto del corresponsable del tratamiento:

  • No existe la figura del corresponsable del tratamiento

Nombre y datos de contacto del representante del responsable:

  • El representante del tratamiento está establecido en el territorio de la Unión Europea

Nombre y datos de contacto del delegado de protección de datos:

  • La entidad responsable del tratamiento no ha designado un delegado de protección de datos

Empresas del grupo:

  • La entidad responsable del tratamiento NO pertenece a un grupo de empresas

OBJETO DEL DOCUMENTO

La Agencia Española de Protección de Datos plasmó, en su Plan Estratégico 2015-2019, su voluntad de que los responsables del tratamiento alcancen un elevado cumplimiento de las obligaciones que la normativa de protección de datos les impone, fomentando una cultura de la protección de datos que suponga una clara mejora de la competitividad, compatible con el desarrollo económico.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119/1, 04-05-2016) (en adelante, RGPD), proporciona un marco modernizado y basado en la rendición de cuentas para la protección de los datos en Europa.

En tal sentido, el artículo 5, apartado 2, del Reglamento (UE) 2016/679, establece expresamente el principio de «responsabilidad proactiva», según el cual el responsable del tratamiento será responsable del cumplimiento (y capaz de demostrarlo) de los siguientes principios relativos al tratamiento:

  • Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
  • Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
  • Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
  • Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
  • Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
  • Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

En síntesis, el principio de «responsabilidad proactiva» exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

En tal sentido, la Dirección / Órgano de Gobierno de IRON SALFER S.C. aboga por una política proactiva de cumplimiento, en pos de conseguir que en el desarrollo de sus fines se respete de forma activa el derecho fundamental a la protección de datos.

En su consecuencia, el presente documento se elabora con el objeto de establecer la Política de IRON SALFER S.C. en relación con el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119/1, 04-05-2016), y en la normativa española de protección de datos de carácter personal (Ley Orgánica, sus normas de desarrollo y la legislación sectorial específica).

COMPROMISO DE LA DIRECCIÓN / ÓRGANO DE GOBIERNO CON LA PROTECCIÓN DE DATOS.

La Dirección / Órgano de Gobierno de  IRON SALFER S.C. (en adelante, el responsable del tratamiento), asume la máxima responsabilidad y compromiso con el establecimiento, implementación y mantenimiento de la presente Política de Protección de Datos, garantizando la mejora continua del responsable del tratamiento con el objetivo de alcanzar la excelencia en relación con el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119/1, 04-05-2016), y de la normativa española de protección de datos de carácter personal (Ley Orgánica, legislación sectorial específica y sus normas de desarrollo).

La Política de Protección de Datos de IRON SALFER S.C. descansa en el principio de responsabilidad proactiva, según el cual el responsable del tratamiento es responsable del cumplimiento del marco normativo y jurisprudencial que gobierna dicha Política, y es capaz de demostrarlo ante las autoridades de control competentes.

En tal sentido, el responsable del tratamiento se regirá por los siguientes principios que deben servir a todo su personal como guía y marco de referencia en el tratamiento de datos personales:

  1. Protección de datos desde el diseño: el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento.
  1. Protección de datos por defecto: el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
  1. Protección de datos en el ciclo de vida de la información: las medidas que garanticen la protección de los datos personales serán aplicables durante el ciclo completo de la vida de la información.
  1. Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
  1. Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
  1. Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  1. Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  1. Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
  1. Integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
  1. Información y formación: una de las claves para garantizar la protección de los datos personales es la formación e información que se facilite al personal involucrado en el tratamiento de los mismos. Durante el ciclo de vida de la información, todo el personal con acceso a los datos será convenientemente formado e informado acerca de sus obligaciones en relación con el cumplimiento de la normativa de protección de datos.

La Política de Protección de Datos de IRON SALFER S.C. es comunicada a todo el personal del responsable del tratamiento y puesta a disposición de todas las partes interesadas.

En su consecuencia, la presente Política de Protección de Datos involucra a todo el personal del responsable del tratamiento, que debe conocerla y asumirla, considerándola como propia, siendo cada miembro responsable de aplicarla y de verificar las normas de protección de datos aplicables a su actividad, así como identificar y aportar las oportunidades de mejora que considere oportunas con el objetivo de alcanzar la excelencia en relación con su cumplimiento.

Esta Política será revisada por la Dirección / Órgano de Gobierno de IRON SALFER S.C., tantas veces como se considere necesario, para adecuarse, en todo momento, a las disposiciones vigentes en materia de protección de datos de carácter personal.

III. NECESIDAD DE DISPONER DE UN DELEGADO DE PROTECCIÓN DE DATOS.

NO se detecta la necesidad de disponer de un Delegado de Protección de Datos.

Esto es debido a que no se da ninguno de los siguientes supuestos:

  • El tratamiento lo lleva a cabo una autoridad u organismo público.
  • Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieren una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales:
    • Datos personales que revelen el origen étnico o racial.
    • Datos personales que revelen las opiniones políticas.
    • Datos personales que revelen las convicciones religiosas o filosóficas.
    • Datos personales que revelen la afiliación sindical.
    • Datos genéticos.
    • Datos biométricos dirigidos a identificar de manera unívoca a personas físicas.
    • Datos relativos a la salud (física o mental).
    • Datos relativos a la vida sexual o la orientación sexual de personas físicas.
  • Las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
  • El responsable del tratamiento es un Colegio profesional o un Consejo General, regulado por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
  • El responsable del tratamiento es un centro docente que ofrece enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
  • El responsable del tratamiento es una entidad que explota redes o presta servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, y trata habitual y sistemáticamente datos personales a gran escala.
  • El responsable del tratamiento es un prestador de servicios de la sociedad de la información que elabora a gran escala perfiles de los usuarios del servicio.
  • El responsable del tratamiento es una entidad incluida en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • El responsable del tratamiento es un establecimiento financiero de crédito regulado por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
  • El responsable del tratamiento es una entidad aseguradora o reaseguradora sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  • El responsable del tratamiento es una empresa de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  • El responsable del tratamiento es un distribuidor o comercializador de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico.
  • El responsable del tratamiento es un distribuidor o comercializador de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
  • El responsable del tratamiento es una entidad responsable de un fichero común para la evaluación de la solvencia patrimonial y crédito.
  • El responsable del tratamiento es una entidad responsable de un fichero común para la gestión y prevención del fraude.
  • El responsable del tratamiento es una entidad que desarrolla actividades de publicidad y prospección comercial, y lleva a cabo tratamientos basados en las preferencias de los afectados o realiza actividades que implican la elaboración de perfiles de los mismos.
  • El responsable del tratamiento es un centro sanitario legalmente obligado al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • El responsable del tratamiento es una entidad que tiene como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • El responsable del tratamiento es un operador que desarrolla la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego. 
  • El responsable del tratamiento desempeña alguna de las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Concepto de “observación habitual y sistemática”

La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de «observación del comportamiento de los interesados» se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental:

Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

 No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados.

 El Grupo de Trabajo del artículo 29 interpreta «habitual» con uno o más de los siguientes significados:

  • Continuado o que se produce a intervalos concretos durante un periodo concreto;
  • Recurrente o repetido en momentos prefijados;
  • Que tiene lugar de manera constante o periódica.

 El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados:

  • Que se produce de acuerdo con un sistema;
  • Preestablecido, organizado o metódico;
  • Que tiene lugar como parte de un plan general de recogida de datos;
  • Llevado a cabo como parte de una estrategia.

 Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son:

  • Operar una red de telecomunicaciones;
  • Prestar servicios de telecomunicaciones;
  • Redireccionar correos electrónicos;
  • Actividades de mercadotecnia basadas en datos;
  • Elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero);
  • Llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles;
  • Programas de fidelidad;
  • Publicidad comportamental;
  • Seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles;
  • Televisión de circuito cerrado;
  • Dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

 Concepto de “a gran escala”

El Grupo de Trabajo del artículo 29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • La duración, o permanencia, de la actividad de tratamiento de datos;
  • El alcance geográfico de la actividad de tratamiento.

 Como ejemplos de tratamiento a gran escala cabe citar:

  • El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
  • El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
  • El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
  • El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
  • El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
  • El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

 Como casos que no constituyen tratamiento a gran escala cabe señalar:

  • El tratamiento de datos de pacientes por parte de un solo médico;
  • El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

NECESIDAD DE REALIZAR UNA EVALUACIÓN DE IMPACTO.

NO se detecta la necesidad de realizar una evaluación de impacto.

Esto es debido a que no se da ninguno de los siguientes supuestos:

  • El responsable realiza una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se basa en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se toman decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • El responsable realiza tratamientos a gran escala de categorías especiales de datos personales:
    • Datos personales que revelen el origen étnico o racial.
    • Datos personales que revelen las opiniones políticas.
    • Datos personales que revelen las convicciones religiosas o filosóficas.
    • Datos personales que revelen la afiliación sindical.
    • Datos genéticos.
    • Datos biométricos dirigidos a identificar de manera unívoca a personas físicas.
    • Datos relativos a la salud (física o mental).
    • Datos relativos a la vida sexual o la orientación sexual de personas físicas.
    • Datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
  • El responsable realiza una observación sistemática a gran escala de una zona de acceso público.

Concepto de “sistemático”

El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados:

  • Que se produce de acuerdo con un sistema;
  • Preestablecido, organizado o metódico;
  • Que tiene lugar como parte de un plan general de recogida de datos;
  • Llevado a cabo como parte de una estrategia.

EVALUACIÓN DEL RIESGO.

Determinación del riesgo

La mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.

De tal modo, el responsable del tratamiento está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el citado Reglamento, con la Ley Orgánica, sus normas de desarrollo y la legislación sectorial específica, incluida la eficacia de dichas medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

En su consecuencia, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En tal sentido, los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos siguientes:

  • En los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo;
  • En los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales;
  • En los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
  • En los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
  • En los casos en los que se traten datos personales de personas vulnerables, en particular niños;
  • En los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

Determinación del riesgo de las operaciones de tratamiento

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. Así, el riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un escaso riesgo, riesgo (riesgo estándar) o un alto riesgo.

A los efectos de la presente política de protección de datos, deberá considerarse que las operaciones del tratamiento suponen un alto riesgo para los derechos y libertades de las personas físicas en los siguientes supuestos:

  1. Cuando el tratamiento pueda generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
  1. Cuando el tratamiento pueda privar a los afectados de sus derechos y libertades o pueda impedirles el ejercicio del control sobre sus datos personales.
  1. Cuando se produzca el tratamiento no meramente incidental o accesorio de las siguientes categorías de datos:
    • Datos personales que revelen el origen étnico o racial.
    • Datos personales que revelen las opiniones políticas.
    • Datos personales que revelen las convicciones religiosas o filosóficas.
    • Datos personales que revelen la afiliación sindical.
    • Datos genéticos.
    • Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
    • Datos relativos a la salud.
    • Datos relativos a la vida sexual o la orientación sexual de una persona física.
    • Datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
  1. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
  1. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
  1. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.
  1. Cuando los datos de carácter personal fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección. En tal sentido, se considera que tienen un nivel adecuado de protección los siguientes Estados:
    • Los Estados del Espacio Económico Europeo (EEE):
      • Estados de la Unión Europea.
      • Islandia.
      • Liechtenstein.
      • Noruega.
      • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
      • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
      • Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
      • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
      • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
      • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
      • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
      • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
      • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
      • Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
      • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
      • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. En la página web del Escudo de privacidad se accede a la relación de las entidades certificadas: https://www.privacyshield.gov/list.
  1. Otros supuestos de riesgo en base a la actividad del responsable del tratamiento.

REGISTRO DE ACCIONES INFORMATIVAS Y FORMATIVAS.

La Política de Protección de Datos de IRON SALFER S.C. descansa en el principio de responsabilidad proactiva, según el cual el responsable del tratamiento es responsable del cumplimiento del marco normativo y jurisprudencial que gobierna dicha Política, y es capaz de demostrarlo ante las autoridades de control competentes.

En tal sentido, el responsable del tratamiento se rige, entre otros, por el principio de información y formación, según el cual una de las claves para garantizar la protección de los datos personales es la formación e información que se facilite al personal involucrado en el tratamiento de los mismos, educando a los empleados en la denominada cultura de la protección de datos.

En su consecuencia, todo el personal de la entidad con acceso a los datos será convenientemente formado e informado acerca de sus obligaciones en relación con el cumplimiento de la normativa de protección de datos, recibiendo el apropiado conocimiento, capacitación y actualizaciones regulares de la Política de Protección de Datos de IRON SALFER S.C..

En relación con la metodología de las acciones informativas y formativas, se recomienda la combinación de diferentes metodologías para una mejor asimilación de los conocimientos por parte de los participantes, citando a modo de ejemplo las siguientes:

  • Exposición de contenidos o clase magistral: El docente explica los contenidos de forma teórica con ayuda de recursos como son presentaciones de PowerPoint.
  • Simulaciones o estudio del caso: El docente propone situaciones a resolver por parte de los participantes, que le permiten asimilar mejor los conocimientos adquiridos.
  • Dinámicas de grupo: Con el fin de activar la interacción entre los participantes y el docente.

En relación con el personal docente, se recomienda acudir a profesionales de la protección de datos y de la privacidad con experiencia docente previa. Esta función puede recaer sobre el propio delegado de protección de datos de la entidad responsable del tratamiento, en el caso de que se hubiese designado como tal. Asimismo, al finalizar la acción formativa, se aconseja la realización de pruebas de evaluación de conocimientos a los participantes.

Con la finalidad de la gestión de control interno del cumplimiento del principio de información y formación en el seno de la entidad, se ha elaborado un “Registro de acciones formativas e informativas” para el personal en materia de protección de datos.