Seguridad · RGPD

Protección de datos según el RGPD y la LOPDGDD

APL SPIN trata datos personales de ciudadanos, trabajadores y usuarios en nombre de las administraciones y entidades que lo utilizan. Este es el marco con el que lo hacemos y las garantías que aplicamos.

Conforme RGPD (UE 2016/679) · LOPDGDD (LO 3/2018)

Conceptos clave

Quién es quién en el tratamiento de datos

Cuando una administración o entidad usa APL SPIN, los roles del RGPD quedan distribuidos así:

Responsable

Cliente (administración o entidad)

La organización que decide las finalidades del tratamiento y es responsable ante los interesados. APL SPIN es la herramienta que utiliza.

Encargado

SPIN Vilanova

Tratamos los datos únicamente siguiendo las instrucciones del responsable, según el contrato de encargo del tratamiento (art. 28 RGPD).

DPD

Delegado de protección de datos

Cada cliente designa su DPD. SPIN Vilanova dispone también de su propio DPD para cuestiones del servicio e incidentes.

Interesados

Personas titulares de los datos

Ciudadanos, alumnos, candidatos, trabajadores y otras personas cuyos datos se gestionan a través de APL SPIN.

Base legal del tratamiento

Las administraciones que utilizan APL SPIN tratan los datos amparadas por misión de interés público, ejercicio de poderes públicos, ejecución de un contrato con la persona interesada o, en algunos casos, consentimiento expreso. La base legal específica de cada tratamiento queda registrada en el registro de actividades del responsable.

Derechos de los ciudadanos

Acceso a sus datos e información sobre el tratamiento.
Rectificación de datos inexactos o incompletos.
Supresión ("derecho al olvido") cuando no haya base legal para conservarlos.
Limitación del tratamiento en los supuestos previstos en el RGPD.
Portabilidad en formato estructurado y de uso común.
Oposición al tratamiento por motivos personales.

APL SPIN dispone de módulos y exportaciones para atender cada uno de estos derechos de manera trazable.

Contrato de encargo del tratamiento

Todos los clientes de APL SPIN firman con SPIN Vilanova un contrato de encargo del tratamiento conforme al artículo 28 del RGPD. El contrato regula finalidades, duración, tipos de datos, medidas de seguridad, subencargados autorizados, deber de confidencialidad y destino de los datos al finalizar el servicio.

Medidas técnicas y organizativas

Cifrado de la información en reposo y en tránsito (TLS).
Control de acceso por rol con trazabilidad de cada acción.
Copias de seguridad periódicas con retenciones definidas.
Auditorías internas y revisiones periódicas del SGSI.
Formación continua del personal en materia de seguridad y protección de datos.

Transferencias y ubicación de los datos

Los datos de los clientes de APL SPIN se alojan en datacenters situados dentro de la Unión Europea. No se realizan transferencias internacionales fuera del EEE sin consentimiento expreso del responsable y las garantías exigidas por el RGPD.

Notificación de incidentes

Ante cualquier incidente de seguridad que pueda afectar a datos personales, SPIN Vilanova notifica al cliente (responsable) sin dilación indebida, con toda la información necesaria para que este pueda cumplir la obligación de comunicarlo a la autoridad de control en el plazo de 72 horas que establece el RGPD.

Conservación y destino de los datos

Los datos se conservan mientras dura el contrato y, posteriormente, solo durante los plazos de prescripción legal o según las políticas de conservación pactadas con el cliente. Al finalizar el servicio, todos los datos se devuelven al cliente en formato estructurado o se destruyen según indicación del responsable.

¿Necesitan el contrato de encargo del tratamiento?

Ponemos a su disposición el modelo de contrato de encargo, la política de privacidad y la lista de subencargados para su revisión jurídica o concursos públicos.

Solicitar documentación Ver política de privacidad