Aviso de cookies (fijado en la cabecera debido a que algunos navegadores y extensiones ahora ocultan los banners): Al navegar por este sitio web, tus datos de conexión (IP) y navegación (URL) son obtenidos y mantenidos durante un máximo de 90 días exclusivamente para mantener la seguridad del sitio web a través de los servicios de cortafuegos y antivirus de Defiant Inc, prestador de servicios ubicado en EE.UU. con el que Pablo (responsable) mantiene un contrato de encargado del tratamiento. Puedes oponerte o ejercitar otros derechos, así como obtener más información consultando el aviso de cookies.
El contenido de este sitio web está basado en normas de España, salvo indicación expresa en contrario.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

En este apartado se ofrece el registro de las actividades de tratamiento realizadas en calidad de responsable del tratamiento.

Por cada una de las actividades de tratamiento enumeradas, el responsable ha elaborado y mantiene actualizados los siguientes documentos:

  1. Sopesamiento sobre el interés legítimo: Para los tratamientos o fases de estos cuya base de licitud se encuentre en el art. 6.1.f del Reglamento General de Protección de Datos, el responsable ha sopesado documentalmente las operaciones para que su interés legítimo no prevalezca sobre los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  2. Análisis sobre la necesidad de Delegado de Protección de Datos (DPD)
  3. Análisis sobre la necesidad de hacer una Evaluación de Impacto en la Protección de Datos (EIPD). Para las actividades para las que se ha determinado necesaria una EIPD, se han elaborado estos documentos: EIPD, junto con el ciclo de vida del dato y su correspondiente planificación de gestión de riesgos.
  4. Análisis básico de riesgos: las conclusiones se detallan unas líneas más abajo, quedando en privado algunos aspectos que permiten asegurar una seguridad más eficiente sobre los datos personales.

[Puedes descargar desde aquí y usar gratuitamente las plantillas que he elaborado para que puedas adecuar tu negocio a la normativa de protección de datos personales]

El tratamiento de datos de carácter personal se realiza por Pablo siempre después haber aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Con cada una de ellas se procura garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Asimismo, lleva a cabo regularmente procesos de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Anualmente realiza una auditoría completa.

Las medidas mínimas que Pablo aplica son las siguientes:

a) Físicas:

  • Política de ‘mesas limpias’.
  • Uso mínimo de papel o de soportes similares.
  • Impresora propia o con contraseña en caso de que haya terceros con acceso a la bandeja de salida.
  • Destructora propia de corte cruzado para documentos.
  • Armarios ignífugos propios con cerraduras específicas.
  • Documentos clasificados y etiquetados.
  • Lugares de trabajo protegidos con medidas de seguridad propias y contratadas a terceros, con imposibilidad de acceso a personas no autorizadas.

b) Lógicas:

  • Solo y siempre software original, actualizado y con licencia oficial. Se ha activado, siempre que el sistema lo permite, la actualización automática.
  • Los terminales que fueran de doble uso dispondrán de un perfil exclusivo para fines profesionales.
  • Cifrado de disco y, adicionalmente, cifrado por archivo.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico gracias un servicio específico contratado a un prestador de confianza, que incluye la realización de copias de seguridad incrementales por cada cambio realizado y completas realizadas periódicamente tanto por ese mismo prestador como, mensualmente, por el propio responsable.
  • Firewall y sistemas actualizados de protección del endpoint en todos los terminales.
  • VPN contratada a un prestador de confianza para todos los terminales.
  • Anclaje móvil, salvo en redes de confianza.
  • Contraseñas diferentes en cada aplicación, cambiadas de forma periódica y almacenadas cifradas en un gestor de contraseñas oficial provisto por un prestador de confianza y reforzado con una clave privada propia.
  • Sistemas de 2FA en aplicaciones y sitios en Internet.
  • Firma PGP disponible para pablo@pablofb.com: 0xe8f04fd86d138308.
  • Herramientas de protección habituales: usuario bloqueado cuando está sin uso, filtro de privacidad para pantallas, salvapantallas con bloqueo con contraseña y escudo USB para impedir la sincronización de datos, entre otros.

Las medidas de seguridad son revisadas de forma periódica, tanto manualmente como a través de software específico.

El Sitio Web de Pablo (pablofb.com) cuenta con un cifrado SSL TLS v.1.2 y con sistemas de seguridad propios y otros contratados a terceros también de confianza. Se revisa periódicamente el estado de las medidas de seguridad manualmente y mediante soluciones específicas tanto instaladas como online (ejemplos: SSL Labs, Sucuri o HTBridge, Security HeadersCookie Checker)

c) Organizativas:

Pablo trata por sí mismo los datos y, en su caso, a través de terceros debidamente autorizados por los interesados o con los que mantiene contratos de encargado del tratamiento adaptados a la normativa vigente.

d) Formativas:

Por motivos profesionales, la formación en protección de datos, en ciberseguridad y en materias vinculadas es continua.

e) Otras:

  • Confidencialidad como abogado: Pablo y los abogados y asesores que trabajan con él y que tuvieran algún tipo de intervención en los servicios prestados al cliente, están comprometidos a no divulgar ni hacer uso de la información a la que hayan accedido por razón de su profesión, por así disponerlo el artículo 5 del Código Deontológico de la Abogacía Española. La información suministrada por el cliente tendrá, en todo caso, la consideración de confidencial, sin que pueda ser utilizada para otros fines que los relacionados con los servicios contratados a Pablo. Pablo se obliga a no divulgar ni revelar información sobre las pretensiones del cliente, los motivos del asesoramiento solicitado o la duración de su relación con este.
  • Normativa vinculada: Todo tratamiento realizado por Pablo se lleva a cabo cumpliendo como mínimo los requisitos legales adicionales establecidos por la normativa aplicable como la elaboración o revisión y firma de contratos de encargado del tratamiento, la realización de auditorías preventivas y de mantenimiento o la custodia diligente de los consentimientos, así como la asistencia a los interesados en el ejercicio de sus derechos.

Criterios de utilización de dispositivos digitales

El correo electrónico y los demás instrumentos de almacenamiento de datos o de comunicación, así como los terminales fijos o móviles son herramientas exclusivamente de trabajo facilitadas por Pablo para el desempeño de las funciones laborales o mercantiles, según contrato, y no podrán ser utilizadas para fines personales, domésticos o para fines profesionales diferentes a los convenidos. Pablo podrá hacer copias de seguridad y acceder al contenido derivado del uso de estos medios a los solos efectos de controlar el cumplimiento de las obligaciones laborales, estatutarias o establecidas por medio de contrato mercantil y de garantizar la integridad de dichos dispositivos. En todo caso, los accesos se harán de manera conforme a la normativa de protección de datos y velando por la protección de la intimidad de los afectados.

Los usuarios no podrán permitir el acceso de terceros a las cuentas y los dispositivos que les hubieran sido confiados por Pablo por motivo de su relación laboral o mercantil. Una vez cesado el motivo del que trajese causa la entrega, se retirarán las credenciales al usuario y se suprimirá el contenido, debiendo ser bloqueado por el tiempo oportuno. Los mensajes que sean recibidos en esas cuentas serán redirigidos a una cuenta institucional (info@) u organizativa (caso1@), no asignadas a una persona en particular pero controladas por Pablo o, hasta su cese, la persona que este hubiera designado.

Protocolo de supresión de datos y destrucción de soportes

Se suprimen los datos en local, así como las copias de respaldo de estos en servidores de almacenamiento, en aquellos destinados a la prestación de servicios de correo electrónico y en soportes de respaldo ubicados en lugares diferentes al de trabajo o al domicilio habitual. Se exceptúan los casos en los que el responsable solicita la devolución y cuando existe justificación legal, que se documentará en cada caso, para mantener o custodiar el dato más allá de la prestación del servicio. La destrucción de soportes se hará garantizando físicamente la imposibilidad de extraer datos. 

Acciones ante brechas de seguridad

Cuando se produzcan violaciones de seguridad de datos de carácter personal, como por ejemplo, una sustracción de documentos o el acceso indebido a los datos personales, el responsable notificará a la Agencia Española de Protección de Datos antes de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos. Si para el caso es de utilidad, se podrá usar la guía que explica ‘Cómo gestionar una fuga de información en un despacho de abogados‘.

Análisis de la navegación de los usuarios a través de los sitios web y perfiles sociales que gestiona el responsable con el objeto de mejorar la actividad de comunicación.

Corresponsabilidad en redes sociales: Pablo es corresponsable, junto con los titulares de las redes sociales indicadas y enlazadas en la pestaña «titular del sitio web», del tratamiento correspondiente a la obtención inicial de datos de los usuarios. Estos son los corresponsables principales a efectos de gestión de datos y recepción de solicitudes de ejercicio de derechos por parte de los interesados. Los titulares de cada una de las redes sociales son, por su parte, responsables únicos o con terceros de los tratamientos que realicen una vez han obtenido los datos.

1.- Colectivo

Usuarios que accedan a sitios web o perfiles sociales gestionados por el responsable.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Cadena de agentes de usuario del navegador y relación de direcciones IP, junto con gráficas y valores totales sobre la navegación del conjunto de los usuarios por cada una de las páginas del sitio web. Estos datos se muestran de forma desagregada, de manera que no permitan al responsable identificar a los usuarios.

3.- Fines del tratamiento

Se realizan tratamientos con finalidad analítica: Análisis de la navegación de los usuarios a través de los sitios web y perfiles sociales que gestiona el responsable con el objeto de implementar mejoras en la actividad de comunicación.

4.- Base jurídica

Este tratamiento de datos encuentra su justificación legal en el consentimiento del usuario (art. 6.1.a del Reglamento General de Protección de Datos).

5.- Terceros con acceso a datos

Google LLC

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Google en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: Torre Picasso, Plaza Pablo Ruiz Picasso, 1, 28020 Madrid. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • FeedBurner: Analítica a través del servicio de actualizaciones automáticas o de suscripción vía feed del Sitio Web, sin acuerdo de encargado del tratamiento. Este servicio es gestionado por medio de FeedBurner, de Google LLC. Los interesados aportan su correo electrónico tras haber dado explícitamente su consentimiento a la transferencia propuesta y tras haber sido informados de los posibles riesgos para ellos de dicha transferencia debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
    • YouTube: Analítica de visualizaciones de vídeos por medio del servicio Google Analytics.

 Twitter Inc

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Twitter en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: 1355 Market Street #900 San Francisco, California 94103. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • Twitter Analytics: Servicio analítico de cada interacción de los usuarios con las publicaciones del responsable en la red social Twitter. Genera un informe analítico de interacciones globales, que pone a disposición del responsable.

GoDaddy Iberia SLU (antes, HostEurope o RedCoruna)

  • Descripción: Entidad española, con política de privacidad propia.
  • Datos de contacto: Avda. Coruña 36, entresuelo izquierdo
    27003 Lugo. Formulario.
  • Transferencia internacional: No.
  • Tratamientos:
    • [actualmente no se usa] AWStats: Servicio analítico de usuarios del Sitio Web, a través de browser fingerprinting pasivo, en el servidor contratado.

6.- Categoría destinatarios

No están previstas comunicaciones de datos.

7.- Transferencia internacional

Están previstas transferencias internacionales a las empresas estadounidenses indicadas en la sección «Terceros con acceso a datos».

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se suprimen los datos transcurridos los siguientes plazos de conservación:

No obstante, los datos podrán ser conservados por tiempo mayores para atender las posibles responsabilidades que se pudieran derivar del tratamiento de los datos o de las actividades de los usuarios.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El responsable envía comunicaciones comerciales publicitarias o promocionales.

1.- Colectivo

Interesados en las actividades e información acerca de las actividades del responsable o de los contenidos que crea o publica.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Datos identificativos principales: Nombre y apellidos; nombre de usuario
  • Otros datos: DNI, NIF o documento identificativo; dirección física o electrónica; firma; teléfono y sector de actividad.

3.- Fines del tratamiento

La finalidades del tratamiento es la publicidad y la prospección comercial, incluyendo: envío de comunicaciones, publicidad e información, realización de encuestas de opinión, prospección comercial, segmentación de mercados, sistema de ayuda a la toma de decisiones y recopilación de direcciones.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en las bases siguientes:

  • Para clientes: es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento (art. 6.1.f del Reglamento General de Protección de Datos), con base en lo dispuesto en el artículo 21.2 de la Ley 34/2002. En particular, estos intereses legítimos consisten en mantener a los clientes informados sobre otros productos o servicios propios, similares a los que contrataron, que puedan ser de su interés, ya sea para completar o complementar lo que les fue prestado, ya para auditar, mejorar o adecuar actividades concretas de su negocio.
  • Para suscriptores: En caso de que se ofrezca algún servicio (por ejemplo, la suscripción al blog) el tratamiento tendrá su base jurídica en que es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del Reglamento General de Protección de Datos y artículo 21.1 de la Ley 34/2002). En concreto, los usuarios que se suscriben acuerdan, por medio de una solicitud o una autorización expresa, recibir, por email u otras vías, notificaciones y artículos vinculados a la actividad del responsable.

5.- Terceros con acceso a datos

Google LLC

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Google en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: Torre Picasso, Plaza Pablo Ruiz Picasso, 1, 28020 Madrid. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • G Suite: Conjunto de soluciones ofimáticas a través de las cuales el responsable recibe y remite comunicaciones.
    • FeedBurner: Solución de suscripción vía feed al Sitio Web del responsable a través del cual este envía los contenidos que se publican diariamente a las dirección de correo electrónico de los suscritos. El servicio se gestiona con un doble factor de verificación (e-mail con enlace) para garantizar que el consentimiento se obtiene de forma expresa para esta actividad.

 Twitter Inc

LinkedIn Corporation

GoDaddy Iberia SLU (antes, HostEurope o RedCoruna)

  • Descripción: Entidad española, con política de privacidad propia.
  • Datos de contacto: Avda. Coruña 36, entresuelo izquierdo
    27003 Lugo. Formulario.
  • Transferencia internacional: No.
  • Tratamientos:
    • Hosting: Servicio de alojamiento de la web principal del responsable, a través del cual el prestador tiene acceso a los datos que los usuarios faciliten o transmitan a través de ella.
    • Correo: Servicio de correo electrónico para la recepción y envío de comunicaciones.

Otros: El responsable hace uso de encargados auxiliares tales como servicios de mensajería o de telecomunicaciones, para la recepción y remisión de mensajes y datos.

5.- Categoría destinatarios

No están previstas comunicaciones de datos.

6.- Transferencia internacional

Están previstas transferencias internacionales a las empresas estadounidenses indicadas en la sección «Terceros con acceso a datos».

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

7.- Plazo supresión

Feed: Los datos personales de los interesados en la recepción de información, incluidos los suscritos al feed por e-mail, se mantendrán en el sistema de forma indefinida en tanto el interesado no solicite su supresión.

Comentarios en sitios web del responsable: Los comentarios y sus metadatos se conservan indefinidamente con la finalidad de que se puedan reconocer y aprobar comentarios sucesivos automáticamente en lugar de mantenerlos en una cola de moderación. Las cookies que decidas crear en tu navegador relacionadas con tus comentarios almacenarán tus datos durante un año.

Actividades: Los datos personales de las personas inscritas en actividades generales serán suprimidos cuando estas hubieran finalizado.

Datos publicados en línea por el responsable: Los datos personales subidos por el responsable a páginas web y perfiles en redes sociales se mantendrán desde que el usuario ofrece su consentimiento hasta que lo retira.

8.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

9.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

10.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El responsable analiza el comportamiento de los usuarios en su navegación a través del sitio web y los diferentes perfiles sociales con el objeto de prevenir y bloquear ataques lógicos.

1.- Colectivo

Usuarios que accedan a sitios web o perfiles sociales gestionados por el responsable.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Direcciones IP.
  • Cadena de agentes de usuario del navegador.

3.- Fines del tratamiento

Analizar el comportamiento de los usuarios en su navegación a través del sitio web y los diferentes perfiles sociales con el objeto de prevenir y bloquear ataques lógicos.

4.- Base jurídica

Este tratamiento de datos encuentra su justificación legal en que es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento (art. 6.1.f del Reglamento General de Protección de Datos). En particular, estos intereses legítimos consisten en evitar la destrucción o alteración de los datos, sean personales o no personales, y los sistemas, así como impedir que se bloquee el acceso a los mismos o que terceros realicen otros tratamientos no autorizados.

5.- Terceros con acceso a datos

Automattic Inc

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Google en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: 60 29th Street #343, San Francisco, CA 94110, United States of America. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos a través de los sitios web del responsable
    • Akismet: Cuando los visitantes dejan comentarios en la web, se recopilan los datos que se muestran en el formulario de comentarios, así como la dirección IP del visitante y la cadena de agentes de usuario del navegador para ayudar a la detección de spam.

Google LLC

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Google en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: Torre Picasso, Plaza Pablo Ruiz Picasso, 1, 28020 Madrid. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • Servicios de Google (Gmail, YouTube, etc.): La empresa estadounidense ha implementado y mantiene sistemas de defensa frente a intrusiones y sistemas anti-malware en los diferentes servicios usados por el responsable.

Defiant Inc

  • Descripción: Entidad estadounidense no adherida al Escudo de la Privacidad o Privacy Shield, con política de privacidad propia y con la que el responsable ha firmado este contrato de encargado del tratamiento.
  • Datos de contacto: 800 5th Ave., Suite 4100, Seattle, WA 98104. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • Wordfence: Plugin de seguridad para WordPress (CMS empleado por el responsable) a través del cual la empresa estadounidense recibe datos de todos los usuarios que navegan e interactúan con el sitio web principal.

6.- Categoría destinatarios

No están previstas comunicaciones de datos.

7.- Transferencia internacional

Están previstas transferencias internacionales a las empresas estadounidenses indicadas en la sección «Terceros con acceso a datos».

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se suprimen los datos transcurridos los siguientes plazos de conservación:

No obstante, los datos podrán ser conservados por tiempo mayores para atender las posibles responsabilidades que se pudieran derivar del tratamiento de los datos o de las actividades de los usuarios.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El tratamiento consiste en las gestiones propias vinculadas al ejercicio de derechos de terceros sobre sus datos incorporados en ficheros cuyo tratamiento corresponde al responsable total o parcialmente.

1.- Colectivo

Las personas físicas cuyos datos son tratados son aquellas, incluidas las representantes de personas jurídicas, que dirijan una solicitud de ejercicio de derechos a Pablo.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Nombre y apellidos; DNI, NIF o documento identificativo; dirección física; dirección electrónica y firma.
  • Otros datos: Aquellos que puedan estar incluidos en el ejercicio o que tengan que ser tratados por causa de la prestación del servicio, lo que puede incluir datos de categorías especiales y relativos a condenas e infracciones penales.

3.- Fines del tratamiento

La finalidad del tratamiento consiste en las gestiones propias vinculadas al ejercicio de derechos de terceros sobre sus datos incorporados en ficheros cuyo tratamiento corresponde a Pablo total o parcialmente.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en que el tratamiento  es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, según el artículo 6.1.c) del Reglamento General de Protección de Datos.

5.- Terceros con acceso a datos

Podrán acceder a datos, según el caso, los terceros indicados en los tratamientos transversales.

6.- Categoría destinatarios

No se prevén destinatarios.

7.- Transferencia internacional

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

Se ha realizado una evaluación de impacto solo para los casos en los que los datos afectos formen parte de un tratamiento que de por sí lo requiera, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018. En estos casos, se ha incluido como apartado propio.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato, como parte integrante de la evaluación de impacto. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El responsable cuenta con proveedores que le prestan servicios tales como el alquiler de la oficina, el alojamiento de la web y el servicio de correo electrónico, entre otros.

1.- Colectivo

Las personas cuyos datos son tratados son los vendedores o los proveedores de servicios o, si estos fueran empresas, las personas de contacto.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Datos identificativos: Nombre y apellidos, DNI, dirección, teléfono, imagen y firma.
  • Detalles de empleo: entidad u organismo y puesto que ocupa.
  • Datos económico-financieros: datos bancarios.

3.- Fines del tratamiento

La finalidad del tratamiento es la gestión y el control de la relación con proveedores.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en el hecho de que es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del Reglamento General de Protección de Datos).

5.- Terceros con acceso a datos

Podrán acceder a datos, según el caso, los terceros indicados en los tratamientos transversales.

6.- Categoría destinatarios

Los datos podrán ser comunicados a entidades financieras y a la Agencia Estatal de la Administración Tributaria.

7.- Transferencia internacional

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El responsable imparte clases y da conferencias en calidad de autónomo a través de universidades y áreas de formación.

1.- Colectivo

Las personas cuyos datos son tratados son profesores, personal administrativo y alumnos que participan en los cursos.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Datos identificativos: Nombre y apellidos, DNI, dirección, teléfono, imagen y firma.
  • Detalles de empleo: entidad u organismo y puesto que ocupa.
  • Datos académicos y profesionales: formación, titulaciones.
  • Datos económico-financieros: datos bancarios.

3.- Fines del tratamiento

La finalidad del tratamiento es la gestión y el control de las actividades formativas. Esto incluye: formalización de contratos para el desarrollo de la actividad, la llevanza de listados de asistencia, la docencia y tutorización, la calificación de actividades, el cobro de las actividades y la expedición de certificados.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en el hecho de que es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del Reglamento General de Protección de Datos).

5.- Terceros con acceso a datos

Podrán acceder a datos, según el caso, los terceros indicados en los tratamientos transversales.

6.- Categoría destinatarios

Los datos de los profesores de actividades remuneradas serán comunicados a las entidades financieras y la Agencia Estatal de la Administración Tributaria.

7.- Transferencia internacional

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

Los datos de los profesores se conservarán para futuras acciones formativas, salvo que soliciten su supresión. En el caso de actividades remuneradas se conservarán al amparo de lo dispuesto en la Ley 58/2003 General Tributaria.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

El responsable presta servicios de consultoría y de negocio a particulares y empresas.

1.- Colectivo

Las personas físicas cuyos datos son tratados son aquellas, incluidas las representantes de personas jurídicas, que dirijan consultas al responsable o a las que este les presta servicios jurídicos o de consultoría legal en sus diferentes modalidades.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Nombre y apellidos; DNI, NIF o documento identificativo; dirección física; dirección electrónica; firma; cargo de la entidad a la que representa y datos sobre esta; teléfono; características personales; circunstancias sociales; información comercial; datos económicos, financieros y de seguros; y datos sobre transacciones de bienes y servicios.
  • Otros datos: Aquellos que puedan estar incluidos en la consulta o que tengan que ser tratados por causa de la prestación del servicio, lo que puede incluir datos de categorías especiales y relativos a condenas e infracciones penales.

3.- Fines del tratamiento

La finalidad del tratamiento es el registro y la gestión de las consultas formuladas al responsable, así como la prestación de servicios jurídicos o de consultoría legal en sus diferentes modalidades.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en el hecho de que es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales y, cuando se dé el caso, para los fines adicionales que el interesado acepte (arts. 6.1.b y 6.1.a, respectivamente, del Reglamento General de Protección de Datos).

5.- Terceros con acceso a datos

Debido a la especial naturaleza de los datos tratados a través de esta actividad, también se aplica a estos accesos por parte de terceros las medidas de seguridad arriba indicadas junto con otras adicionales que por precaución el responsable prefiere mantener reservadas. 

Google LLC

  • Descripción: Entidad estadounidense adherida al Escudo de la Privacidad o Privacy Shield (ver ficha de Google en el Privacy Shield), con política de privacidad propia.
  • Datos de contacto: Torre Picasso, Plaza Pablo Ruiz Picasso, 1, 28020 Madrid. Formulario.
  • Transferencia internacional: Sí.
  • Tratamientos:
    • G Suite: Conjunto de soluciones ofimáticas a través de las cuales el responsable almacena y edita archivos con datos personales y recibe y envía comunicaciones.

Dropbox International Unlimited Company

  • Descripción: Entidad irlandesa, con política de privacidad propia.
  • Datos de contacto: One Park Place, Floor 5, Upper Hatch Street, Dublin 2, Ireland. Formulario.
  • Transferencia internacional: No.
  • Tratamientos:
    • Dropbox: Sistema de almacenamiento de archivos.

Dropbox Inc

Podrán acceder a datos, según el caso, los terceros indicados en los tratamientos transversales.

6.- Categoría destinatarios

En función del servicio que se preste y de la necesidad que deba ser cubierta para la prestación este, los datos podrán ser comunicados a los sujetos siguientes: Administración de Justicia, Agencia Estatal de la Administración Tributaria, Fuerzas y Cuerpos de Seguridad del Estado, entidades financieras, entidades dedicadas al cumplimiento o incumplimiento de obligaciones dinerarias y otros órganos de la administración pública.

7.- Transferencia internacional

Están previstas transferencias internacionales a las empresas estadounidenses indicadas en la sección «Terceros con acceso a datos».

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

Se ha realizado una evaluación de impacto, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato, como parte integrante de la evaluación de impacto. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

En caso de que se fuera a contratar a un interesado o a conceder una beca de prácticas, se elaboraría previamente el registro de tratamiento oportuno. Por ahora, el único tratamiento que se realiza en este sentido es la recepción de postulaciones.

1.- Colectivo

Las personas cuyos datos son tratados son interesados en puestos de prácticas o de trabajo.

2.- Categorías de Datos

El tipo de dato que se trata para esta actividad es el siguiente:

  • Datos identificativos: Nombre y apellidos; DNI, NIF o documento identificativo; número de la seguridad social; dirección, firma y teléfono.
  • Categorías especiales de datos: datos de salud (discapacidades).
  • Datos de características personales: Género, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares.
  • Datos académicos y profesionales: Titulaciones, formación y experiencia profesional.
  • Datos de detalle de empleo y carrera.

3.- Fines del tratamiento

La finalidad del tratamiento es la selección de personal.

El responsable analizará los documentos que le remita el candidato, todo el contenido que sea directamente accesible a través de los buscadores (Bing, Yandex, Google, Baidu, DuckDuckGo, etc.), los perfiles que mantenga en redes sociales profesionales (LinkedIn, Xing, Viadeo, etc.), los datos obtenidos en las pruebas de acceso y la información que revele en la entrevista de trabajo, con el objetivo de valorar su candidatura y poder, en su caso, ofrecerle un puesto. Este análisis podrá realizarlo para descubrir y valorar candidatos que precise para determinados puestos o encargos.

4.- Base Jurídica

Este tratamiento de datos encuentra su justificación legal en el hecho de que es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del Reglamento General de Protección de Datos). Cuando sea obligatorio comprobar los antecedentes del interesado, el tratamiento tendrá su base en el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del Reglamento General de Protección de Datos). La búsqueda proactiva de candidatos y de detalles sobre estos en bases de datos de terceros tiene su base en el interés legítimo de descubrirlos para cubrir puestos o de conocerlos mejor para saber si el puesto encaja en su perfil (art. 6.1.f del Reglamento General de Protección de Datos). En los procesos se tendrá presente la normativa laboral y, en especial, el Estatuto de los Trabajadores.

5.- Terceros con acceso a datos

Podrán acceder a datos, según el caso, los terceros indicados en los tratamientos transversales.

6.- Categoría destinatarios

No se prevén destinatarios.

7.- Transferencia internacional

Se realizan las transferencias internacionales indicadas en los registros de las actividades de tratamientos transversales en tanto en cuanto el interesado facilite datos a través del sitio web del responsable o sus perfiles sociales o envíe una comunicación al responsable o la reciba de este.

No están previstas otras transferencias internacionales de los datos.

8.- Plazo supresión

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En caso de que el candidato no sea seleccionado, el responsable podrá mantener almacenado su currículo un máximo de dos años para incorporarlo a futuras convocatorias, a menos que el candidato se manifieste en contrario o exprese su deseo de que sea mantenido por más tiempo.

9.- Delegado de protección de datos

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 37 del Reglamento General de Protección de Datos y en el artículo 34 de la Ley Orgánica 3/2018.

10.- Evaluación de impacto

No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018.

11.- Análisis de riesgo

Se ha elaborado un análisis de riesgo sobre la seguridad del dato. Las medidas de seguridad son las referidas más arriba. De forma periódica y siempre que se produce algún cambio se revisa y se evalúa la eficacia de las medidas de seguridad implementadas. Esta evaluación también se hace siempre que se produce una actualización sobre los sistemas. Para las medidas lógicas, se cuenta con la colaboración de un equipo informático.

Plazo de conservación de los datos:

  • Hasta que retire su consentimiento, sobre la dirección electrónica para fines publicitarios, si la persona se inscribió (art. 21.1 LSSI)
  • Mientras exista expectativa razonable de seguir recibiendo publicidad por parte de la persona a la que se remiten las comunicaciones con base en el interés legítimo del art. 21.2 LSSI (Dictamen 06/2004 GT29Informe 0195/2017 AEPD y Considerando 47 RGPD)
  • Hasta 2 años sobre los datos obtenidos para fines analíticos a partir de cookies u otros dispositivos similares (capítulo 3.2.8 Guia Cookies AEPD)
  • Mientras el tratamiento sea necesario (art. 5 RGPD)
  • Hasta el cese de la actividad de tratamiento: se conservará marcado todo dato correspondiente a personas que no deseen recibir comunicaciones comerciales, con objeto de no realizarlas (art. 23 LOPDGDD)

Plazos de bloqueo (Si hay datos personales, el plazo inicia el día siguiente a la finalización del plazo de conservación, salvo que el dato se deba destruir; y si no hay datos personales en el documento, el plazo inicia el día desde el que se pudo ejercer la acción o desde la fecha de la infracción, como norma general):

  • 1 año:
    • Acciones de responsabilidad extracontractual, para recobrar posesiones o para exigir responsabilidades por injurias, calumnias o agravios (art. 1968 CC) [Interrupción de plazos en el artículo 1973 del CC]
    • Protección de datos: Derecho a indemnización y responsabilidad (art. 82 RGPD). Se aplica la acción de responsabilidad extracontractual del art. 1968 CC.
  • 3 años:
  • 5 años:

Política de calidad y seguridad de la información

El abogado Pablo Fernández Burgueño (ICAM 82308), para la prestación de los servicios legales y formativos que ofrece o dirige, ha implantado un sistema de gestión de calidad y seguridad para tratar de alcanzar o superar la calidad esperada por sus usuarios, contactos, clientes, trabajadores y proveedores.

Los procesos establecidos fueron aprobados por el responsable de la firma el 20 de agosto de 2019 y son revisados con cada cambio relevante y, como mínimo, cada doce meses. Los objetivos principales de estos procesos son:

  • Mitigar los riesgos, para minimizar los incidentes, por medio del mantenimiento de medidas de seguridad técnicas y organizativas.
  • Garantizar la confidencialidad, la disponibilidad y la integridad tanto de los datos personales, como de los secretos industriales.
  • Ser proactivo en el cumplimiento del conjunto normativo aplicable al desarrollo de la actividad.
  • Elegir únicamente proveedores que cumplan con estándares mejores o similares a estos en materia de calidad y de seguridad.
  • Mantener un registro seguro de los activos y sus cambios.
  • Lograr una alta credibilidad y confianza en terceros y proveedores.
  • Sensibilizar a los trabajadores y colaboradores sobre seguridad física y lógica a través de un proceso de formación continua.

El responsable expresa su total compromiso con el sistema de gestión de calidad y seguridad que ha implantado, con el objetivo de cumplir, además, con los deberes sectoriales de confidencialidad y secreto y el conjunto normativo en materia calidad integral y de seguridad de la información.

Copia gratis este aviso legal para tu negocio siguiendo estas instrucciones

Ofrezco este aviso legal gratis para su reutilización bajo la licencia Reconocimiento 4.0 Internacional de Creative Commons.

  • Derechos: eres libre de copiar, transformar, distribuir y comunicar públicamente todo o parte de este aviso legal, incluso con fines comerciales.
  • Obligaciones:
    • En ningún caso podrás dar ni tan siquiera la impresión de que yo, Pablo, he participado en la adecuación legal de tu sitio web ni en la elaboración personalizada de tu aviso legal.
    • La reutilización de este aviso legal está condicionada a la adición de la siguiente advertencia: “El titular del Sitio Web ha elaborado este aviso legal por iniciativa propia tomando como base los textos legales disponibles bajo Licencia CC By en www.pablofb.com.

Recuerda: Modifico el aviso legal frecuentemente para realizar correcciones, adaptarlo a los cambios normativos y mejorar su contenido y estructura. Si quieres, puedes contratarme este mantenimiento para tu sitio web. Cuando aceptas la licencia que ofrezco para reutilizar el aviso, la normativa (art. 21 Ley 34/2002) me permite contactarte para ofrecerte mis servicios jurídicos y formativos. Puedes oponerte en cualquier momento a que te contacte. Si quieres hablar conmigo, escríbeme: <pablo@pablofb.com>.

Fecha de la última edición de este aviso legal: 01 de abril de 2021.

Ir al contenido