Seguretat · RGPD

Protecció de dades segons el RGPD i la LOPDGDD

APL SPIN tracta dades personals de ciutadans, treballadors i usuaris en nom de les administracions i entitats que el fan servir. Aquest és el marc amb què ho fem i les garanties que apliquem.

Conforme RGPD (UE 2016/679) · LOPDGDD (LO 3/2018)

Conceptes clau

Qui és qui en el tractament de dades

Quan una administració o entitat fa servir APL SPIN, els rols del RGPD queden distribuïts així:

Responsable

Client (administració o entitat)

L'organització que decideix les finalitats del tractament i és responsable davant dels interessats. APL SPIN és l'eina que utilitza.

Encarregat

SPIN Vilanova

Tractem les dades únicament seguint les instruccions del responsable, segons el contracte d'encàrrec del tractament (art. 28 RGPD).

DPD

Delegat de protecció de dades

Cada client designa el seu DPD. SPIN Vilanova disposa també del seu propi DPD per a qüestions del servei i incidents.

Interessats

Persones titulars de les dades

Ciutadans, alumnes, candidats, treballadors i altres persones les dades de les quals es gestionen a través d'APL SPIN.

Base legal del tractament

Les administracions que fan servir APL SPIN tracten les dades emparades per missió d'interès públic, exercici de poders públics, execució d'un contracte amb la persona interessada o, en alguns casos, consentiment exprés. La base legal específica de cada tractament queda registrada al registre d'activitats del responsable.

Drets dels ciutadans

Accés a les seves dades i informació sobre el tractament.
Rectificació de dades inexactes o incompletes.
Supressió ("dret a l'oblit") quan no hi hagi base legal per conservar-les.
Limitació del tractament en els supòsits previstos al RGPD.
Portabilitat en format estructurat i d'ús comú.
Oposició al tractament per motius personals.

APL SPIN disposa de mòduls i exportacions per atendre cada un d'aquests drets de manera traçable.

Contracte d'encàrrec del tractament

Tots els clients d'APL SPIN signen amb SPIN Vilanova un contracte d'encàrrec del tractament conforme a l'article 28 del RGPD. El contracte regula finalitats, durada, tipus de dades, mesures de seguretat, subencarregats autoritzats, deure de confidencialitat i destí de les dades en finalitzar el servei.

Mesures tècniques i organitzatives

Xifratge de la informació en repòs i en trànsit (TLS).
Control d'accés per rol amb traçabilitat de cada acció.
Còpies de seguretat periòdiques amb retencions definides.
Auditories internes i revisions periòdiques del SGSI.
Formació contínua del personal en matèria de seguretat i protecció de dades.

Transferències i ubicació de les dades

Les dades dels clients d'APL SPIN s'allotgen a datacenters situats dins de la Unió Europea. No es realitzen transferències internacionals fora de l'EEE sense consentiment exprés del responsable i les garanties exigides pel RGPD.

Notificació d'incidents

Davant qualsevol incident de seguretat que pugui afectar dades personals, SPIN Vilanova notifica el client (responsable) sense dilació indeguda, amb tota la informació necessària perquè aquest pugui complir l'obligació de comunicar-ho a l'autoritat de control en el termini de 72 hores que estableix el RGPD.

Conservació i destí de les dades

Les dades es conserven mentre dura el contracte i, posteriorment, només durant els terminis de prescripció legal o segons les polítiques de conservació pactades amb el client. En finalitzar el servei, totes les dades es retornen al client en format estructurat o es destrueixen segons indicació del responsable.

Necessiteu el contracte d'encàrrec del tractament?

Posem a la vostra disposició el model de contracte d'encàrrec, la política de privacitat i la llista de subencarregats per a la vostra revisió jurídica o concursos públics.

Sol·licitar documentació Veure política de privacitat