Política de
protección de datos
OBJETO
El objetivo de la Política General de Protección de Datos Personales (PGPDP, en adelante) de AGROSEGURO es establecer los principios y pautas comunes de actuación en materia de protección de datos personales, garantizado el cumplimiento de la legislación aplicable.
La PGPDP tiene la finalidad de proteger los derechos y libertades fundamentales de todas las personas físicas que se relacionan con AGROSEGURO, garantizando el respeto del derecho al honor y a la intimidad en el tratamiento de sus datos personales, y en particular, de su derecho a la protección de los datos personales.
La Dirección de AGROSEGURO se compromete a implantar las medidas técnicas y organizativas necesarias para que la información esté suficientemente protegida contra cualquier amenaza con potencial para incidir en su confidencialidad, integridad, disponibilidad y resiliencia, independientemente del medio empleado y del formato en el que se utilice la misma.
ÁMBITO DE APLICACIÓN
La PGPDP es de aplicación a todas las personas que prestan servicios en AGROSEGURO, incluyendo a sus directivos y empleados, así como a todas las empresas relacionadas contractualmente, como es el caso de los proveedores.
PRINCIPIOS DEL TRATAMIENTO DE LOS DATOS PERSONALES
Los principios por los que se rige la Política son:
-
Principios relativos a la recogida y al tratamiento de datos personales.
El tratamiento de datos personales será leal, legítimo y lícito. En este sentido, los datos personales deberán ser recogidos para uno o varios fines específicos y legítimos conforme a la legislación aplicable. En los casos en los que resulte obligatorio conforme a dicha legislación, deberá obtenerse el consentimiento expreso de los interesados antes de recabar sus datos.
En particular, no se recabarán ni tratarán datos personales relativos al origen étnico o racial, a la ideología política, a las creencias, a las convicciones religiosas o filosóficas, a la vida u orientación sexual, a la afiliación sindical, a la salud, ni datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona, salvo que la recogida de los referidos datos sea necesaria, legítima y requerida o permitida por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en dicha ley.
En los procesos de recopilación de información sobre empleados, asegurados, visitas, proveedores, etc., se les informará de modo transparente, expreso, preciso e inequívoco sobre el uso de sus datos. Siempre que se recojan datos de carácter personal de forma directa del interesado, éste deberá ser informado sobre:
-
La identidad del responsable del tratamiento.
-
La finalidad del tratamiento de los datos.
-
Los terceros o categorías de terceros a los que se transfieren en su caso los datos.
-
La base jurídica del tratamiento.
-
La elaboración de perfiles, en su caso.
-
El plazo de conservación de los datos.
-
Los datos de contacto del Delegado de Protección de Datos.
Solamente serán objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para los que se recojan o traten y adecuados a tal finalidad. Por tanto, los datos recabados y tratados no podrán ser utilizados para otros fines diferentes para los que fueron recopilados, y no podrán ser comunicados o cedidos a terceros fuera de los casos permitidos por la ley y de conformidad con los procedimientos legalmente establecidos.
Los datos personales deberán ser exactos y estar actualizados, en caso contrario, deberán suprimirse o rectificarse. Asimismo, no se conservarán más allá del plazo necesario para conseguir el fin para el cual se tratan, salvo en los supuestos previstos legalmente.
Queda prohibida la adquisición, la recopilación o la cesión de los datos personales provenientes de fuentes ilegítimas o que no puedan garantizar la legítima procedencia de dichos datos o su protección.
-
Principios de transparencia e información y derechos de los interesados.
El tratamiento de datos personales será transparente en relación con el interesado facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la ley aplicable.
Para ello, AGROSEGURO garantizará que los afectados puedan ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y cualesquiera otros que pudieran ser aplicables de acuerdo con la legislación en materia de protección de datos personales, estableciéndose los procedimientos internos que sean necesarios para satisfacer los requisitos legales aplicables en cada caso.
-
Principio de responsabilidad proactiva.
AGROSEGURO es responsable de cumplir con los principios estipulados en esta Política y los exigidos en la legislación aplicable, y debe ser capaz de demostrarlo.
Para ello, AGROSEGURO ha designado a un Delegado de Protección de Datos (DPD, en adelante) que asume las funciones asignadas en el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD, en adelante).
El DPD velará por el cumplimiento de los principios de confidencialidad, integridad y disponibilidad de los datos personales que se manejan en AGROSEGURO, independientemente de su formato.
EL DPD se encargará de que los principios recogidos en esta Política sean tenidos en cuenta durante el diseño e implantación de los procedimientos establecidos, en los servicios ofrecidos por AGROSEGURO, en todos los contratos y obligaciones que se formalicen, y en la implantación de los sistemas y plataformas que permitan el acceso de empleados u otros terceros a los datos de carácter personal.
Asimismo, AGROSEGURO efectuará periódicamente una evaluación del riesgo de los tratamientos que se realizan, con el fin de determinar las medidas a aplicar para garantizar que los datos personales se tratan conforme a las exigencias legales. Se evaluarán de forma preliminar los riesgos que puedan comportar la implantación de nuevos productos, servicios o sistemas de información, realizándose una Evaluación de Impacto de Protección de Datos en el caso de que del análisis previo se derive un riesgo alto, siguiendo los requisitos del RGPD.
Se llevará un Registro de Actividades en el que se describan los tratamientos de datos personales que se llevan a cabo en AGROSEGURO en el marco de sus actividades.
El Área de Tecnología y Procesos dispondrá de un servicio de gestión de incidentes de seguridad de la información que esté dotado de los medios para dar respuesta a los incidentes que ocasionen la destrucción, pérdida, alteración o acceso no autorizado a los datos personales, y que centralice la recogida, análisis y gestión de los incidentes detectados.
Los incidentes de seguridad podrán ser identificados por los responsables y técnicos del Área de Tecnología y Procesos, por alarmas en los sistemas de monitorización, o notificados por el personal de AGROSEGURO u otras partes interesadas. Asimismo, cualquier usuario podrá trasladar incidentes y/o debilidades que puedan tener relación con la seguridad de los datos de carácter personal, acudiendo al DPD.
-
Contratación de encargados del tratamiento.
La contratación de prestadores de servicios que pudieran tener acceso a datos de carácter personal responsabilidad de AGROSEGURO, deberá ser verificada tanto con carácter previo como durante la vigencia de la relación contractual, de modo que se asegure que el proveedor reúne las garantías necesarias y cumple con las medidas de seguridad exigibles en el RGPD.
-
Medidas de seguridad.
AGROSEGURO implantará, ejecutará y mantendrá las medidas de seguridad organizativas y técnicas necesarias para garantizar una seguridad adecuada de los datos personales que los proteja del tratamiento no autorizado o ilícito y que evite su pérdida y su destrucción.
Los datos personales recabados y tratados se conservarán con la máxima confidencialidad y secreto, y se destruirán de manera confidencial cuando dejen de ser útiles para la finalidad para la que fueron recogidos conforme a los plazos de conservación definidos.
La Dirección del Área de Tecnología y Procesos será la encargada de implantar en los sistemas de información los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de esta Política, y velará por que dichos desarrollos estén actualizados en cada momento.
-
Formación y concienciación del personal.
La protección de datos personales ha de ser entendida como un proceso integral que involucra a todo el personal que trata datos personales en función de sus tareas asignadas. En consecuencia, se adoptarán las acciones formativas y de concienciación correspondientes de forma periódica para que todas las personas conozcan la presente Política y los procesos de protección de datos personales, y desarrollen sus funciones de conformidad con los mismos.
EVALUACIÓN, CONTROL Y SUPERVISIÓN
El DPD, en coordinación con la Dirección del Área de Tecnología y Procesos, evaluará, al menos una vez al año, el cumplimiento y la eficacia de la PGPDP e informará del resultado a la Dirección General. Para verificar el cumplimiento de esta Política se realizarán auditorías periódicas por parte de auditores internos o externos.
Asimismo, será el responsable de controlar y supervisar de forma continua lo dispuesto en esta Política.
APROBACIÓN, ENTRADA EN VIGOR Y ACTUALIZACIÓN
La Política será comunicada a todos los afectados dentro del alcance y quedará a disposición de las partes interesadas para cualquier consulta. La Política será revisada con periodicidad al menos anual, de forma que sea adecuada a los fines de AGROSEGURO, y de forma extraordinaria cuando se produzcan cambios en los objetivos estratégicos o en la legislación aplicable en materia de protección de datos de carácter personal.
Esta Política ha sido aprobada con fecha 24 de mayo de 2018.