Política de Privacidad y Protección de Datos
En FIBRATEL, como empresa que presta Servicios de Telecomunicaciones, recogemos y tratamos los datos de carácter personal que nos aportan los interesados. Esta Política de Privacidad y Protección de Datos explica cómo y por qué utilizamos esos datos, e indica qué derechos se pueden ejercer en relación con los mismos.
FIBRATEL se compromete en todo momento a recabar únicamente los datos personales necesarios para el normal ejercicio de su actividad, conservarlos el menor tiempo posible, mantenerlos actualizados y protegidos mediante medidas de seguridad y analizar el impacto en la protección de dichos datos de cualquier nueva actividad o modificación de sus procesos.
5.3 Responsable del tratamiento:
Las empresas del Grupo Fibratel en adelante (FIBRATEL), mencionadas más abajo, son las responsables del tratamiento de los datos personales aportados por clientes, proveedores, empleados/ aspirantes a puestos de trabajo y visitas en nuestras oficinas, con la finalidad de prestar servicios de telecomunicaciones. También es responsable de las grabaciones efectuadas por el sistema CCTV en las sedes donde se dispone del mismo.
Categoría de datos:
Los datos recabados serán siempre los mínimos necesarios para la prestación de los servicios y se pueden dividir en varias categorías, como pueden ser:
- datos identificativos (nombre, apellidos, DNI…),
- datos de contacto (dirección, email, teléfono, fax…),
- información profesional (empresa, cargo…)
- información financiera (nº cuenta bancaria…)
- grabación de imágenes en nuestras oficinas y almacenes.
5.4 Finalidades del Tratamiento de los datos personales:
Los datos personales del Interesado serán tratados para prestar los Servicios que nos han contratado y/o gestionar las relaciones contractuales con el/los interesados.
En particular, tratamos los datos personales del Interesado para:
- Prestar servicios de telecomunicaciones.
- Comunicarnos con el Interesado y otros terceros como parte de nuestros Servicios.
- Tomar decisiones no automatizadas sobre la posibilidad de ofrecer los Servicios al Interesado.
- Mejorar y comprobar continuamente la calidad de nuestros Servicios (por ejemplo, realizando encuestas de satisfacción, investigación y análisis en relación con los Servicios).
- Proteger nuestro negocio frente al fraude o el impago.
- La gestión de nuestras operaciones y el cumplimiento de políticas y procedimientos internos relacionados, por ejemplo, con auditorías, análisis de resultados financieros y contabilidad, facturación y cobro, sistemas informáticos, continuidad del negocio, así como gestión de registros, documentos e impresión.
- Resolver quejas y gestionar solicitudes.
- El cumplimiento de obligaciones legales a las que FIBRATEL está sujeta, así como la respuesta a las solicitudes de las administraciones públicas, gubernamentales y litigios.
- Establecer y defender los derechos legales, proteger nuestras operaciones o las de cualquier otra compañía del grupo FIBRATEL, salvaguardar nuestros derechos, privacidad,
seguridad y propiedad, y/o los de nuestro grupo empresarial, del Interesado u otros, y buscar soluciones o mitigar los daños.
Destinatarios de los Datos:
Podremos compartir los datos personales del Interesado con terceros siempre que sea necesario para poder prestar los Servicios a los que el Interesado tiene derecho o para las finalidades descritas en la presente Política de Protección de Datos. La comunicación de los datos personales del Interesado significa que sus datos personales se compartirán y/o que los siguientes terceros podrán acceder a los mismos:
- Entidades del Grupo Fibratel.
- Asesores externos y colaboradores: gestorías, abogados, consultores, entidades financieras…
- Nuestros reguladores y otras autoridades gubernamentales o públicas, cuando sea necesario para cumplir con una obligación legal o regulatoria.
- La policía y otros terceros o fuerzas del orden, tribunales, reguladores, autoridades gubernamentales u otros terceros análogos, cuando sea necesario para la prevención o detección de un delito o para cumplir con una obligación legal o regulatoria, o proteger nuestros derechos o los derechos de un tercero de otra forma.
- Otros terceros, como prestadores de servicios de emergencia (bomberos, policía y servicios médicos de emergencia) y operadores de viajes.
Dependiendo de la naturaleza de los servicios contratados por el interesado, sus datos personales podrían compartirse y/o ser accedidos por terceros ubicados en países fuera del Espacio Económico Europeo, que tienen un nivel de protección distinto a España. En ese caso, cuando transfiramos los datos personales del Interesado a cualquiera de dichos países, realizaremos dicha transferencia de conformidad con la normativa aplicable de protección de datos. Esto incluiría la adopción de las garantías necesarias, como obligaciones contractuales, para proteger los datos personales del Interesado y sus libertades y derechos fundamentales, así como los derechos relativos a sus datos personales.
Mantenimiento de la Información:
En términos generales, sólo conservamos los datos personales del Interesado durante el tiempo necesario para:
- Proporcionar los Servicios.
- Cumplir con las finalidades descritas en esta Política de Protección de Datos.
- Cumplir con nuestras obligaciones legales y/o proteger nuestros derechos.
Cuando finalice la prestación de los Servicios, los datos personales del Interesado serán protegidos, bloqueados o eliminados una vez que haya expirado el plazo de retención para cumplir con nuestras obligaciones legales o reglamentarias y/o para proteger nuestros derechos. Por defecto, nuestro periodo de conservación máximo será de 6 años para datos de carácter mercantil y de 4 años para datos de carácter laboral. Las grabaciones del sistema CCTV se mantendrán durante 15 días.
En caso de que el Interesado desee información adicional en relación con los plazos de conservación y almacenamiento de sus datos personales, puede utilizar los datos de contacto que se facilitan más abajo en el apartado de «Contacto» de la presente Política de Protección de Datos.
Derechos:
De acuerdo con la normativa de protección de datos, el Interesado tiene ciertos derechos en relación con los datos personales que FIBRATEL trata sobre el mismo y que puede ejercitar utilizando los datos de contacto que se facilitan más abajo en el apartado de «Contacto» de la presente Política de Protección de Datos.
Los derechos del Interesado incluyen:
a) El derecho de acceso a los datos personales: El Interesado tiene derecho a obtener una copia de los datos personales que FIBRATEL almacena sobre el mismo y ciertos detalles sobre la manera en que los mismos son utilizados. En términos generales, estas solicitudes serán tramitadas sin coste alguno para el Interesado.
La información del Interesado será facilitada normalmente por escrito, a no ser que solicite que sea proporcionada de otra manera, o que la solicitud se haya efectuado por medios electrónicos, en cuyo caso la información se entregará a través de dichos medios si es posible.
b) El derecho de rectificación: FIBRATEL toma medidas adecuadas para que la información que almacena sobre el Interesado sea exacta y completa. No obstante, si el Interesado considera que no es así, puede solicitar su actualización o corrección.
c) El derecho de supresión: En algunas circunstancias, el Interesado tiene derecho a solicitar la supresión de sus datos personales. No obstante, en algunos casos, el ejercicio del mencionado derecho podrá significar que no se puedan prestar los Servicios al Interesado.
d) El derecho de oposición y a la limitación del tratamiento: En ciertas circunstancias, el Interesado tiene derecho a oponerse al tratamiento de sus datos personales, o a solicitar que no sean utilizados. No obstante, en algunos casos, el ejercicio de estos derechos podrá significar que no se puedan prestar los Servicios al Interesado.
e) El derecho a la portabilidad: En algunas circunstancias, el Interesado tiene derecho a solicitar sus datos personales en un formato electrónico de uso común, y a que se transmitan los mismos a otro tercero de su elección.
f) El derecho de oposición a acciones de marketing: El Interesado tiene derecho a solicitar que sus datos personales no sean utilizados para acciones de marketing.
g) El derecho a no ser objeto de una decisión automatizada (incluyendo perfilado): El Interesado tiene derecho a no ser objeto de una decisión basada únicamente en tratamientos automatizados. No obstante, nuestras decisiones nunca se basarán exclusivamente en medios automatizados.
h) El derecho a la revocación del consentimiento: El Interesado tiene derecho en cualquier momento a revocar el consentimiento otorgado con anterioridad.
i) El derecho a presentar una reclamación ante la Agencia Española de Protección de Datos:
El Interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si considera que cualquier tratamiento de sus datos personales por parte de FIBRATEL incumple la normativa aplicable de protección de datos.
La presentación de una reclamación no afectará a ningún otro derecho o acción del Interesado.
Seguridad de la información:
Para proteger los datos personales del Interesado, se tomarán las medidas técnicas, físicas, legales y organizativas apropiadas, que sean consistentes con la normativa de protección de datos aplicable.
Cambios en la política de privacidad y protección de datos:
Es posible que actualicemos la presente Política de Protección de Datos periódicamente para garantizar su exactitud. Por ello, es recomendable que el Interesado la consulte cada vez que facilite datos personales. Cuando los cambios en la Política tengan un impacto sustancial sobre el tratamiento de los datos personales del Interesado, o le impacten considerablemente de otro modo, los mismos le serán notificados con suficiente antelación para que el mismo tenga la oportunidad de ejercer sus derechos en relación con sus datos personales.
La presente Política de Protección de Datos se actualizó por última vez en septiembre de 2019 para cumplir con el Reglamento General de Protección de Datos de la Unión Europea, aplicable a partir del 25 de mayo de 2018.
Contacto:
En caso de que el Interesado tenga dudas o preguntas sobre la manera en que FIBRATEL recaba, almacena o utiliza sus datos personales, puede contactar con nosotros de la siguiente forma:
Grupo Fibratel
c/ Xaudaró, 11
28034 Madrid
Att. Dpto. Protección de Datos
Email:
Recogida de datos:
A partir del 25/05/18, la recogida de datos de carácter personal, se debe de realizar obligatoriamente mediante una cláusula de aceptación expresa al tratamiento de los mismos. Según la norma, dicha aceptación ha de ser expresa, inequívoca e informada, por lo que internamente lo vamos a instrumentar de la siguiente forma, dependiendo del origen y del tratamiento que vaya a realizarse con dicho dato:
- Clientes y contactos (potenciales clientes):
Podremos hacerlo mediante dos opciones: - Cumplimentando preferentemente el formulario de alta de cliente, que encontraréis en la siguiente dirección de SharePoint. Ficha de Cliente corporativa: http://shr-fe01/Documentacion%20Corporativa/FICHA%20DE%20CLIENTE%20V01.14.doc
- Redirigiéndolo a la página web en el apartado contacte con nosotros y cumplimentando sus datos, marcando la opción de que acepta así expresamente el tratamiento de los mismos: https://www.fibratel.com/contacta-con-nosotros/
Proveedores y Subcontratas:
Siguiendo el mismo procedimiento que con clientes, o bien los redirigimos a la página web para que cumplimente y acepte el tratamiento de sus datos en nuestra página web, o bien le enviamos la siguiente ficha de proveedor, sin la cual no se podrá dar de alta en el sistema, por no tener la autorización para hacerlo (el primer hipervínculo es para la de Fibratel Catalunya y la segunda es para Fibratel):
Ficha de proveedor de Fibratel Catalunya: http://shrfe01/Documentacion%20Corporativa/FICHA%20PROVEEDOR%20Fibratel%20Catalunya.docx
Ficha de proveedor de Fibratel: http://shr-fe01/Documentacion%20Corporativa/FICHA%20PROVEEDOR%20Fibratel.docx
- Curriculums y candidaturas a puestos de trabajo:
Como ya indicamos con anterioridad ninguna empresa del Grupo Fibratel aceptará CV entregados en mano. Cualquier persona que quiera enviar su candidatura espontánea lo tendrá que hacer a través de nuestra página web en la sección “Trabaja con Nosotros”: https://www.fibratel.com/trabaja-con-nosotros/
En ésta sección se exige al candidato que acepte la política de privacidad, requisito exigido por el Reglamento, y centralizamos en un único punto de entrada éste tipo de datos.
- Acciones de Marketing:
Se deberá de obtener un consentimiento informado previo, indicando además con qué fin y a través de qué medios la persona acepta ser contactada. Se realizará también a través de formulario web en la sección “Contacta con Nosotros”. - Otros Contactos:
De igual manera que en los casos anteriores, cualquier nuevo contacto de cualquier tipo (consultores, auditores, partners, etc…), deberán aceptar expresamente la utilización de sus datos, por lo que recomendamos que nos los hagan llegar a través de la sección Contacta con Nosotros de nuestra página web, de ésta forma tendremos un único punto de entrada de datos (a parte de las fichas de cliente y proveedor que se custodiarán desde Administración, para tener disponible la evidencia de la conformidad.
Las fichas en las que se otorga el consentimiento se van a almacenar desde el Dpto. de Administración de forma digital en las siguientes direcciones de SharePoint por años, ya que tenemos que saber exactamente la fecha en la que se otorgó el consentimiento:
Clientes en Fibratel:
http://shr-fe01/administracion/Fibratel Madrid/Clientes/Fichas Alta Clientes/2018
Clientes en Fibratel Catalunya:
http://shr-fe01/administracion/Fibratel Catalunya/Clientes/Fichas Alta Clientes/2018
Proveedores en Fibratel:
http://shr-fe01/administracion/Fibratel Madrid/Proveedores/FICHAS DE PROVEEDOR/2018
Proveedores en Fibratel Catalunya:
http://shr-fe01/administracion/Fibratel Catalunya/Proveedores/Fichas de Proveedor/2018
No se dará de alta a ningún cliente ni proveedor que no haya marcado la opción “SI” en el consentimiento informado.
Actuación ante el ejercicio de derechos:
Los derechos sobre los datos de carácter personal son personalísimos, y deben ser ejercidos por el afectado frente al responsable del fichero, por lo que es necesario que acredite su identidad frente a dicho responsable.
Podrá, no obstante, actuar el representante legal del afectado (previa acreditación) cuando el titular de los datos se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos.
FIBRATEL deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros en los mismos plazos definidos para cada tipo de derecho.
En el caso de que la solicitud no reúna los requisitos especificados, FIBRATEL deberá solicitar la subsanación de los mismos.
Corresponderá a FIBRATEL la prueba del cumplimiento del deber de respuesta, debiendo conservar la acreditación del cumplimiento del mencionado deber.
La recepción de la Solicitud para ejercer derechos se ha de realizar a través de la siguiente dirección de correo electrónico o dirección postal:
Grupo Fibratel
c/ Xaudaró, 11
28034 Madrid
Att. Dpto. Protección de Datos
Email:
Dicha solicitud será recibida por nuestro servicio de monitorización a través de la herramienta OTRS escalada al área de Protección de Datos, mediante la apertura de un ticket y asignación de responsable y propietario, quienes, como responsables del verificarán que la misma contenga lo siguiente:
- El nombre del Titular de los datos, teléfono, así como correo electrónico u otro medio para comunicarle la respuesta a su solicitud. Documento vigente que acredite la identidad del Titular.
- La descripción clara y precisa de los datos personales y/o las razones respecto de los que se busca ejercer alguno de los derechos y el nombre de la/s empresa/s del Grupo FIBRATEL sobre la/s que quiere ejercer el/los derecho/s.
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
- En el caso de que se trate de una solicitud de RECTIFICACIÓN de datos personales, el titular deberá de indicar, además las modificaciones a realizarse y aportar la documentación que sustente su petición.
En caso de que la solicitud reúna todos los requisitos de forma, se continuará el trámite de acuerdo con la siguiente forma de proceder: - Los responsables de la Protección de Datos Personales comunicarán al Titular o a su Representante Legal, en un plazo máximo de 20 (veinte) días hábiles, contados desde la fecha en que se recibió la solicitud la determinación adoptada, mediante el medio indicado por éste en su solicitud o mediante el mismo medio por el que se recibió la solicitud del interesado.
- Si resulta procedente la solicitud la misma se hará efectiva dentro de los 15 (quince) días hábiles siguientes a la fecha en que se comunique la respuesta.
- Tratándose de solicitudes de ACCESO a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda, lo cual se tendrá que hacer de manera presencial y personal el Titular o su representante legal.
- La obligación de ACCESO a la información se dará por cumplida cuando se pongan a disposición del Titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio. Se podrá negar el acceso al Titular de los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
- Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
- Cuando en su base de datos, no se encuentren los datos personales del solicitante;
- Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
- Cuando la rectificación, cancelación u oposición ya haya sido previamente realizada. Los responsables de la Protección de Datos Personales deberán informar el motivo de su decisión y comunicarla al Titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio establecido en la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.
En el Anexo I se registra un formulario para facilitar la comunicación y ayudar a la realización de la solicitud de ejercicio de derechos tal y como estable la normativa. En el caso de que algún interesado decida ejercer algún derecho, se le podrá enviar el formulario para facilitar la gestión de su solicitud.
Todas las gestiones relacionadas con la solicitud hasta la resolución final y cierre del ticket, se realizarán a través de OTRS, conservándose toda esta información, al menos durante 4 años como evidencia ante los interesados y autoridades competentes.
Actuación ante de incidentes y brechas de seguridad:
El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como aquellas que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Cualquier persona del Grupo FIBRATEL que detecte un incidente o brecha de seguridad lo tendrá que notificar de forma inmediata a helpme@fibratel.com con objeto de que se abra un ticket por parte del Centro de Asistencia Técnica de FIBRATEL (en adelante el CAT) y se gestione a través de la herramienta OTRS en el menor tiempo posible.
El CAT nombrará como propietario/responsable del ticket al Dir. TIC, quién coordinará y supervisará siguientes acciones:
- Informar del suceso al equipo de protección de datos por correo electrónico a la siguiente dirección: protecciondatos@fibratel.com.
- Nombrar a la/s persona/s encargadas de gestionar la crisis y las medidas iniciales a adoptar, escalándoles el ticket generado en OTRS con carácter de URGENTE.
- Notificar la incidencia en el plazo máximo de 72 horas a la Agencia Española de Protección de Datos.
- Comunicación de la brecha de seguridad a los afectados.
De acuerdo con el RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de seguridad de los datos personales debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes. Cuando en el momento de la notificación no fuese posible cumplir con la obligación de facilitar toda la información exigida, se facilitará de manera gradual, a la mayor brevedad y sin dilación.
El responsable del tratamiento deberá, adicionalmente, comunicar a los afectados la brecha de seguridad con un lenguaje claro y sencillo, de forma concisa y transparente. La comunicación de la brecha de seguridad con afectación a datos personales, que cumpla el criterio establecido por la legislación vigente, será realizada siguiendo el formulario online publicado por la Agencia Española de Protección de datos (AEPD) en su página web.
Si el incidente pudiera afectar a personas de más de un Estado miembro se debe evaluar sobre cuál es la autoridad principal a la que se debe realizar la notificación, aunque en caso de duda, se debe notificar a la autoridad local donde la brecha ha tenido lugar.
Cuando deba comunicarse a los afectados, se analizará la posibilidad de que dicha comunicación pudiera afectar la investigación del incidente, lo que se podrá en comunicación a la autoridad de control.
La comunicación deberá de contener:
- Datos de contacto del DPO, o punto de contacto para más información y dudas
- Descripción general del incidente y momento en que se ha producido
- Posibles consecuencias de la brecha de los datos personales
- Descripción de los datos e información personal afectados
- Resumen de las medidas implantadas hasta el momento para controlas los posibles daños
- Otras informaciones útiles a los afectados para proteger sus datos o prevenir posibles daños
La comunicación se realizará de manera directa al afectado, por alguna de las siguientes vías:
- Teléfono
- Correo electrónico
- SMS
- Correo postal
- Otro medio
Sólo en caso de no poder contactar directamente, se podrán utilizar vías alternativas como blogs corporativos, comunicados de prensa, etc.
En todo caso, si se puede demostrar, de forma fehaciente, que la brecha de seguridad no entraña un riesgo para los derechos y las libertadas de las personas físicas, no será necesaria la notificación.
Esto podría ocurrir bajo los siguientes criterios:
- Se han tomado medidas técnicas y organizativas adecuadas para que los datos no sean inteligibles, como cifrados de última generación, minimización, disociación de datos, acceso a entornos de prueba sin datos reales, etc.
- Si se han tomado medidas, posteriormente a la brecha, que mitiguen total o parcialmente el posible impacto para los afectados y garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
Una vez subsanado el incidente se procederá a cerrar el ticket en la herramienta OTRS, quedando todo el historial de acciones realizadas grabado en el sistema para cualquier consulta y/o acreditación ante las autoridades competentes.
REGISTROS
Personal del Departamento de Sistemas:
- Registro de incidentes de seguridad en OTRS
Personal del Departamento de Administración:
- Registro de Actividad, cuando aplique
- Registros relacionados con el ejercicio de derechos en OTRS
- Fichas de alta de Clientes y Proveedores