Política de privacidad

POLÍTICAS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Índice

Exposición de motivos.

Título I. Disposiciones generales.

Artículo 1. Ámbito objetivo de aplicación.

Artículo 2. Ámbito subjetivo de aplicación.

Artículo 3. Principios de protección de datos personales.

Artículo 4.  Directrices generales en el tratamiento de datos del Ayuntamiento

Título II. Política de organización de responsabilidades del Ayuntamiento.

Artículo 5. Distribución funcional en cumplimiento de la política de protección de datos del Ayuntamiento como responsable del tratamiento.

Artículo 6. La persona o entidad designada como delegado/a de Protección de datos del Ayuntamiento.

Artículo 7. Responsable funcional.

Artículo 8. Creación de grupos de trabajo.

Artículo 9. Obligaciones del personal.

Artículo 10. Resolución de conflictos.

Título III. De la gestión de las medidas organizativas y técnicas.

Artículo 11. Categorías de datos personales y de personas afectadas.

Artículo 12. Licitud del tratamiento.

Artículo 13. Política para cumplir con el principio de transparencia. Política para la comunicación de datos a terceros. Información a las personas afectadas.

Artículo 14. Registro de actividades de tratamiento.

Artículo 15. Política para cumplir el principio de privacidad desde el diseño y por defecto.

Artículo 16. Política de seguridad para el personal usuario de los datos personales. Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.

Artículo 17. Transferencias internacionales de datos.

Artículo 18. Política para la gestión de brechas de seguridad

Artículo 19. Política de gestión de los derechos de las personas interesadas.

Artículo 20. Política anual de formación y sensibilización en protección de datos para el personal del Ayuntamiento.

Artículo 21. Medidas de seguridad de la información.

Artículo 22. Plazo de conservación y bloqueo

Título IV. De las relaciones con terceros en el tratamiento de datos personales.

Artículo 23. Principios generales.

Artículo 24. Encargados del tratamiento del Ayuntamiento.

Título V. de las medidas de control y evaluación.

Artículo 25. Revisión y auditoría.

Artículo 26. Revisión de la Política de protección de datos.

Título VI. Políticas de privacidad del Ayuntamiento respecto de las medidas a implementar respecto del uso de las tecnologías

Artículo 27. El uso de las redes sociales en el Ayuntamiento

Artículo 28. El uso de las cookies y otras tecnologías de seguimiento en el Ayuntamiento

Disposición adicional primera. Desarrollo de procedimientos.

Disposición adicional segunda. Publicidad.

Disposición final única.

EXPOSICIÓN DE MOTIVOS

El Ayuntamiento propone un modelo de cumplimiento normativo desde el punto de vista organizativo que sirva de evidencia de las buenas prácticas y medidas de diligencia debida, como demostración de su firme compromiso con la garantía en la protección de los datos personales y la seguridad de la información.

El nuevo marco regulatorio relacionado con la protección de uno de los derechos fundamentales propone un nuevo modelo en el que el responsable del tratamiento debe adoptar una actitud proactiva en el tratamiento de los datos personales, donde se incluye la aprobación e implantación de las oportunas políticas y directrices internas, dentro de la Gobernanza municipal. Este principio, no puede entenderse sin su vinculación con las medidas de seguridad que deben ser apropiadas al riesgo en los tratamientos realizados y que deben atender a los requerimientos del Esquema Nacional de Seguridad (en adelante ENS), según lo dispuesto en la Disposición Adicional Primera de la LOPDGDD.

Por todo ello, el Ayuntamiento considera preciso adoptar una política interna, delimitando las responsabilidades y funciones de los diferentes órganos de la Entidad local, teniendo en cuenta también la posición y funciones que desarrolla el delegado de protección de datos, para evitar posibles disfunciones en la aplicación de esta nueva normativa. Pretende, además, coordinar esfuerzos dentro de la organización, definir, implantar y gestionar la protección de datos.

Con fecha 21 de Febrero de 2023 el Órgano competente de la Corporación, según lo establecido en el artículo 21.1 a) de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, aprueba el documento por el que se regula la Política de Protección de Datos de carácter personal del Ayuntamiento de Huétor Tajar.

POLÍTICA ORGANIZATIVA – POLÍTICA DE ORGANIZACIÓN DE RESPONSABILIDADES

Se constituye un Comité de Privacidad con las siguientes funciones

Hacer el seguimiento del cumplimiento de las normativas de privacidad:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en adelante, RGPD.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante, LOPDGDD.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en adelante, LSSI.
  • Ofrecer mayor conocimiento de las distintas áreas de la organización en lo referente al tratamiento de datos personales al DPD (delegado de protección de datos).
  • Servir de apoyo al DPD en sus funciones.
  • Promover la instauración en la organización de una cultura de privacidad en lo que al tratamiento de datos personales respecta.
  • Programar, al menos, una reunión semestral y las reuniones extraordinarias que las circunstancias aconsejen en cada caso.

La composición del comité queda de la siguiente forma:

Cargo
Presidente (representante legal)
Secretario
Responsable de Privacidad
Responsable de los Derechos del interesado
Administrador del Sistema informático
Encargado del Sistema informático
Encargado de las copias de respaldo
Responsable de Recursos humanos
Responsable de Seguridad y Coordinador de Seguridad

TÍTULO I. DISPOSICIONES GENERALES.

Artículo 1. Ámbito objetivo de aplicación

  1. Constituye el objeto de esta Política de Protección de datos el establecimiento de los principios, directrices y las responsabilidades en la gestión de las actividades de tratamiento con datos de carácter personal del Ayuntamiento, además del diseño de los procedimientos y de las medidas y actuaciones para dar cumplimiento a la normativa vigente en la materia.
  2. Esta Política se aplicará a los datos personales que son tratados por el Ayuntamiento como responsable del tratamiento.
  3. Esta Política será de obligado cumplimiento a los distintos órganos, servicios y departamentos que conforman la estructura orgánica del Ayuntamiento y para todo el personal con acceso a la información que contenga datos de carácter personal con independencia de su relación como empleado público, personal laboral o como prestador de servicios contratado.
  4. La Política de Protección de datos aprobada afectará a la información y datos personales tratados tanto por medios electrónicos, con independencia de los sistemas aplicables para su gestión, como aquellos que sean tratados en soporte papel u otro formato. Esta información se define según las siguientes normas:
  5. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante RGPD),
  6. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de derechos digitales, en adelante LOPDGDD
  7. Preceptos vigentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
  • El Real Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad.

Artículo 2. Ámbito subjetivo de aplicación

El Ayuntamiento tiene entre sus competencias la potestad de autoorganización, según lo recogido en el artículo 4.1.a) de la LBRL, pudiendo dictar normas con carácter reglamentario para el desarrollo de la misma aplicables a los Órganos de Gobierno municipales, así como a los diferentes servicios y departamentos y a todos los empleados públicos municipales.

Artículo 3. Principios de protección de datos personales

1. El Ayuntamiento tratará los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos reconocidos en el artículo 5 del RGPD y demás normativa vigente en la materia:

a) Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con la persona afectada.

b) Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD, a excepción del interés legítimo que no es de aplicación a las Administraciones Públicas.

c) Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

d) Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

e) Exactitud: los datos de carácter personal serán exactos y, en su caso, actualizados siguiendo indicaciones de las personas afectadas; el Ayuntamiento adoptará todas las medidas razonables para que se supriman o rectifiquen, sin dilación, cuando aquellos sean inexactos con respecto a los fines para los que se tratan, según las comunicaciones recibidas por los interesados.

f) Limitación del plazo de conservación: los datos de carácter personal serán mantenidos de forma que se permita la identificación de las personas afectadas el tiempo necesario para los fines que justificaron su tratamiento, o para la presentación de reclamaciones por las personas afectadas o ante la existencia de alguna obligación legal que obligue a su conservación y/o bloqueo, sin perjuicio del cumplimiento de las obligaciones legales en materia de política de gestión documental y archivo aprobado por el Ayuntamiento de acuerdo a los requisitos de la legislación en materia de patrimonio histórico.

g) Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas al riesgo del tratamiento. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto y confidencialidad incluso después de haber concluido la relación con la entidad local, se extremarán estas precauciones en el supuesto de contratación con terceros en los que se traten datos personales, incluso cuando incidentalmente pueda conocer datos personales. La obligación de secreto será complementaria a las obligaciones que puedan tener los empleados públicos por su propia normativa reguladora de su profesión o por la de terceros contratados por el Ayuntamiento.

h) Responsabilidad proactiva: el Ayuntamiento será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

i) Derechos de las personas afectadas: se adoptarán las medidas y procedimientos que garanticen el adecuado ejercicio por las personas afectadas de los derechos de acceso, rectificación, supresión, oposición y, cuando sea posible, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal. Se respetará, en aquellos tratamientos basados en el consentimiento, el derecho a la revocación de este en cualquier momento.

j) Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el tratamiento de los datos personales responsabilidad del Ayuntamiento.

k) Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que el Ayuntamiento desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata el Ayuntamiento. El análisis y gestión de riesgos son parte esencial del modelo de responsabilidad proactiva propugnado por el RGPD, de forma que permita el mantenimiento de un entorno controlado en el tratamiento de los datos personales, minimizando los riesgos hasta niveles aceptables por el Ayuntamiento. La reducción de estos niveles se realizará mediante la aplicación de medidas de seguridad, que deberán ser adecuadas a lo establecido en el esquema nacional de seguridad, en cumplimiento de la disposición Adicional Primera de la LOPDGDD.

l)Proceso de evaluación: el Ayuntamiento implantará un proceso de control, verificación, evaluación y valoración periódico de la eficiencia y eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad de los tratamientos de datos personales, siguiendo los requerimientos del ENS.

m) Protección de datos y seguridad desde el diseño: el Ayuntamiento promoverá la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y demás normativa vigente, y, por tanto, los derechos de las personas afectadas de forma que la protección de datos se encuentre presente en las primeras fases de concepción de los diferentes proyectos que afecten a datos personales, incluyendo la implantación de nuevos sistemas de gestión de la información que vayan a implantarse en la entidad local.

n) Consentimiento de la persona afectada, en aquellos tratamientos donde la base de legitimación sea el consentimiento, según el artículo 6.1.a) del RGPD, este debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que se acepta el tratamiento. La declaración se recabará principalmente por medios escritos sin perjuicio de otras que puedan evidenciar la acción afirmativa de la persona afectada por cualquier otro medio, pero siempre deberá quedar constancia del mismo.

o) Tratamiento de datos de categorías especiales: el Ayuntamiento, tratará aquellos datos personales de categorías especiales en el desempeño de sus competencias propias o delegadas, respetando los principios del RGPD, entre otros el de minimización.

Artículo 4 — Directrices generales en el tratamiento de datos del Ayuntamiento.

Las directrices fundamentales de protección de datos se configuran como objetivos para garantizar el cumplimiento de los principios básicos de la presente política de protección de datos y serán principios inspiradores de las actuaciones del Ayuntamiento siempre que sea preciso el tratamiento de datos personales en las mismas, respetando además el resto del ordenamiento jurídico relacionado con las entidades locales. Para la adecuada implantación de estas directrices y teniendo en cuenta los requerimientos del RGPD y de la vigente normativa se implementarán entre otras las siguientes actuaciones:

  1. Creación, gestión y mantenimiento del Registro de actividades de tratamiento, sometido a la debida publicidad en los términos que establezca la normativa vigente, en el Portal de transparencia de la entidad local.
  • Se establecerán directrices para que las personas afectadas estén informadas de forma transparente, con un lenguaje entendible y accesible, de los tratamientos de sus datos personales por parte de la entidad local.
  • se evitarán, en la medida de lo posible, las transferencias internacionales de datos personales fuera de la unión europea. En caso de que fuese necesario el tratamiento de datos fuera de la unión europea el Ayuntamiento adoptará las medidas técnicas organizativas previstas en el RGPD, debiendo, entre otras:
  • Aplicar el principio de transparencia en sus actuaciones, informando pormenorizadamente a las personas afectadas por dicho tratamiento.
  • Priorizar el tratamiento de datos en países integrantes del espacio económico europeo o aquellos que cuentan con un nivel adecuado de protección, de acuerdo con el listado publicado al efecto por la Agencia española de Protección de datos.
  • Verificar que el tratamiento de datos se realiza con empresas que cumplan con los estándares de seguridad establecidos en el ENS.
  • Verificar el consentimiento inequívoco de las personas afectadas para dicho tratamiento, si este fuese preciso, preservando la evidencia del mismo.
  • Adhesión a normas corporativas vinculantes, cláusulas tipo adoptadas o códigos de conducta por la Comisión europea.

d)   Seguridad en el tratamiento de datos personales: se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos de carácter personal, conozca sus obligaciones y responsabilidades en materia de seguridad, reduciendo el riesgo derivado de un uso indebido de dichos activos, teniendo en cuenta el ciclo de vida del tratamiento de los datos personales desde su incorporación a los sistemas hasta su total destrucción, garantizando la seguridad por defecto.

e) Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para el control y minimización del impacto en las personas afectadas, diseñando protocolos para la debida actuación para la gestión y resolución del incidente, teniendo en cuenta la necesidad de comunicar, en los términos previstos en el RGPD, a la AEPD y a las personas afectadas aquellos que puedan ocasionarles especiales perjuicios en su intimidad, interrelacionando estos protocolos con la necesidad de realizar las debidas notificaciones al CCN-CERT u otros organismo competentes en la materia en cumplimiento, entre otras, de las directrices del ENS.

f) Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, entre ellas las necesarias para la adecuada gestión de los derechos de los personas afectadas por el tratamiento, estableciéndose procedimientos de respuesta rápida a las solicitudes de información o al ejercicio de derechos, adecuados al cumplimiento de los plazos establecidos en la normativa y respetando, en todo caso, el derecho de los personas afectadas a recurrir ante las autoridades de control o bien a presentar reclamación previa ante el delegado de Protección de datos de la entidad.

g) En la gestión indirecta de los servicios de competencia municipal bien mediante empresas externas u otras entidades u organismo se tendrá en cuenta si estas van a acceder a datos personales tratados bajo responsabilidad del Ayuntamiento. En su caso, y en función del acceso que puedan tener, se tendrán en cuenta en los pliegos del contrato la exigencia de medidas técnicas y organizativas precisas, así como la acreditación de la solvencia suficiente en cumplimiento del RGPD y demás normativa vigente en la materia.

TÍTULO II. POLÍTICA DE ORGANIZACIÓN DE RESPONSABILIDADES DEL AYUNTAMIENTO.

Artículo 5—Distribución funcional en cumplimiento de la política de protección de datos del Ayuntamiento como responsable del tratamiento.

El Ayuntamiento, según las funciones descritas en el artículo anterior, tratará como responsable del tratamiento de los datos personales cuando determine los fines y medios del tratamiento, según la definición del artículo 4 apartado séptimo del RGPD. Para la adecuada gestión de los procedimientos del Ayuntamiento en cumplimiento de la normativa de protección de datos personales, se atribuyen las siguientes responsabilidades y funciones, sin perjuicio de aquellas otras que en desarrollo del presente decreto puedan aprobarse, la Política de seguridad de información de la entidad o en la definición competencial de la Relación de Puestos de Trabajo:

  • Al Pleno del Ayuntamiento le corresponde:
  • La aprobación de la Política de Privacidad y sus modificaciones.
  • El ejercicio de acciones judiciales o administrativas en defensa de la entidad local como responsable del tratamiento de los datos personales, para lo cual contará con el asesoramiento del delegado de Protección de datos, o bien, en la defensa de los intereses del Ayuntamiento en las posibles reclamaciones por parte de terceros.
  • Al alcalde o concejal en quien delegue le corresponde:
  • Aprobación del Registro de Actividades del Tratamiento y, en su caso, la modificación o supresión de las actividades de tratamiento, según la propuesta formulada por los responsables funcionales y previa decisión de la Comisión informativa competente.
  • La dirección y representación de la entidad local en materia de protección de datos personales.
  • La aprobación/firma de las resoluciones y/o comunicaciones relacionadas con la respuesta al ejercicio de derechos u otras peticiones realizadas por las personas afectadas por el tratamiento de sus datos personales.
  • La notificación a la AEPD y/o las personas afectadas aquellos incidentes de seguridad, en su caso.
  • La firma de los contratos o actos jurídicos vinculantes de Encargado del Tratamiento con entidades o personas físicas o jurídicas que presten servicios al Ayuntamiento cuando accedan a datos personales.
  • La designación, cese o remoción de la persona designada como Delegado de Protección de datos, así como su inscripción ante la AEPD.
  • Dictar las instrucciones internas, en desarrollo de los acuerdos o resoluciones ratificados por el Pleno precisas en cumplimiento de la política de protección de datos del Ayuntamiento.
  • La presidencia de aquellas comisiones o grupos de trabajo que, cómo asesores del Ayuntamiento puedan crearse para la coordinación de las políticas en materia de protección de datos.
  • La designación de responsables funcionales para el mantenimiento y actualización de las actividades del tratamiento incluidas en el Registro de Actividades del tratamiento.

Las personas que actúan como responsables funcionales de área para la propuesta de creación, modificación o supresión de los Registros de Actividad del tratamiento, incluyendo el mantenimiento de estos, serán designados según la distribución funcional de la Relación de Puestos de la entidad local y el Catálogo de Puestos.

La persona o entidad designada como Delegado de Protección de Datos: informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del RGPD, supervisa el cumplimiento, lleva a cabo labores de concienciación y formación del personal, coopera con la autoridad de control, además de dar respuesta a las reclamaciones presentadas por los interesados previas al recurso ante la AEPD.

Artículo 6—La persona o entidad designada como Delegado de Protección de Datos del Ayuntamiento

El Ayuntamiento designa y comunica a la AEPD al Delegado de Protección de Datos (en adelante DPO), a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD.

La entidad designada por el Ayuntamiento de Huétor Tajar como DPO es:

Evaluadores de datos, S.L.

NIF: B1893462

Plaza Pósito, 11 18360 Huétor Tajar (Granada)

Tlfno: 95833 21 11

Email: delegadodeprotecciondedatos@dataevalua.com

Resolución de alta en Consejo de transparencia y protección de datos de Andalucía: 22-04-2022

La persona designada como DPO llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, las contenidas en la LOPDGDD, así como las establecidas en los criterios y documentos de buenas prácticas que se adopten por la Agencia española de Protección de datos, en su condición de autoridad de control, o por el Comité europeo de Protección de datos.

La persona designada en el desempeño de sus tareas, tendrá acceso a los datos personales y procesos de tratamiento del Ayuntamiento para la realización de sus funciones dentro de la entidad local, siendo respetado en la realización de estas.

Artículo 7—responsable funcional.

1. Las funciones del responsable funcional recaerán en la persona titular del órgano o unidad administrativa que gestione cada procedimiento administrativo y en cuyo ámbito se lleve a cabo el tratamiento de los datos de carácter personal.

2. El Responsable Funcional colaborará con la persona designada como Delegado de Protección de datos, comunicando aquellas incidencias detectadas o propuestas en la mejora de la gestión de la protección de datos personales.

3. El Responsable Funcional elevará al Pleno de la Corporación la creación, supresión o modificación de las actividades de tratamiento que se realicen bajo su supervisión, previa determinación por la Comisión informativa competente.

Artículo 8— Creación de grupos de trabajo.

Los órganos de la dirección del Ayuntamiento a propuesta del Comité de seguridad o del delegado de Protección de Datos, dentro de su respectivo ámbito, podrán crear grupos de trabajo específicos para el estudio o análisis de actuaciones concretas del Ayuntamiento, la mejora de los principios recogidos en la presente política. Los grupos de trabajo podrán contar con la asistencia de personas externas a la entidad local en función de los temas tratados.

Artículo 9—obligaciones del personal.

Todos los órganos y unidades del Ayuntamiento prestarán su colaboración en las actuaciones de implementación en la Política de protección de datos.

Todos los empleados municipales, con independencia de la relación de carácter funcionarial o laboral, fijos, interinos o eventuales, que presten servicios en la Ayuntamiento tienen la obligación de conocer y cumplir lo previsto en la presente Política, así como en las normas y procedimientos que la desarrollen.

Todos los empleados públicos del Ayuntamiento, así como cualquier otro personal que pueda prestar sus servicios en el Ayuntamiento tiene el deber de colaborar en la mejora de los procedimientos y requisitos en materia de protección de datos evitando actuaciones que puedan incrementar los riesgos a los que se encuentran expuestos los datos personales, tanto en la función del Ayuntamiento como Responsable del tratamiento como en la de encargado.

A tal efecto, se establecerán mecanismos de canalización de propuestas o sugerencias en la intranet municipal o por cualquier otro medio que se determine para el delegado de Protección de datos.

Artículo 10—Resolución de conflictos.

La resolución de conflictos entre los diferentes responsables que componen la estructura organizativa de la Política de protección de datos y de aquellos otros que puedan designarse en cumplimiento de las medidas del Esquema Nacional de Seguridad corresponderá, en última instancia, al alcalde o concejal en quien delegue, asistido por el delegado de Protección de datos.

TÍTULO III. DE LA GESTIÓN DE LAS MEDIDAS ORGANIZATIVAS

Y TÉCNICAS

Artículo 11—Categorías de datos personales y de personas afectadas.

1.Con carácter general, el Ayuntamiento, trata las siguientes tipologías de datos personales:

a. Identificativos (nombre, apellidos y documento nacional de identidad).

b. de contacto (email, teléfono, dirección).

c. Profesionales (cargo en un municipio o empresa).

d. Académicos: titulaciones.

e. Categorías especiales de datos: salud (discapacidad), ideología (política o sindical).

2. Las categorías de las personas afectadas se corresponden con aquellos que mantienen algún tipo de relación con la entidad, entre otros se deben considerar:

f. Personas empleadas de la entidad local.

g. Proveedores y personas empleadas de los prestadores de servicios del Ayuntamiento.

h. Vecinos del municipio.

i. interesados en expedientes administrativos.

j. denunciantes o denunciados en procedimientos sancionadores.

Artículo 12—Licitud del tratamiento.

Los datos personales solo serán tratados para la finalidad para la que fueron recogidos.

Con carácter general, los datos personales no serán cedidos o comunicados a terceros, salvo los supuestos en los que exista una obligación legal o mandato de una autoridad administrativa o judicial. En el supuesto de que el Ayuntamiento precise comunicar los datos excepcionalmente y al margen de las obligaciones legales o requerimientos, deberá informar a las personas interesadas y, en su caso, requerirles su consentimiento, conforme a las prescripciones del RGPD, además tendrá en cuenta también:

  • El contexto de la recogida de los datos, así como la categoría de las personas interesadas y de la naturaleza de los datos personales, debiendo adoptar medidas específicas para los datos de categorías especiales (de salud, biométricas, raza, religión…) según el artículo 9 del RGPD.
  • Las posibles consecuencias que puedan derivarse para las personas interesadas del nuevo tratamiento de datos personales no previsto inicialmente.
  • La necesidad de garantizar las mismas medidas de seguridad técnicas y organizativas para el tratamiento de los datos personales con independencia de las categorías de personas afectadas.

El Ayuntamiento trata los datos personales, con carácter general, en cumplimiento de una obligación legal, artículo 6.1.c) o para el ejercicio de los fines, como misión de interés público o ejercicio de potestad pública, que le han sido atribuidos, según el artículo 6.1 e) del RGPD, o bien para la ejecución de un contrato entre las partes, artículo 6.1 b) del RGPD.

En ocasiones (muy puntuales) para la realización de actividades concretas de tratamiento podrá requerir de las personas interesadas su consentimiento que deberá ser recogido teniendo en cuenta los siguientes principios que permitan evidenciar que ha sido otorgado de forma libre, voluntaria e informada, así el Ayuntamiento procurará que:

  • El consentimiento no sea base de legitimación de un tratamiento cuando pueda existir un desequilibrio entre el administrado y el Ayuntamiento, lo que supone que la entidad local pueda tener una posición dominante respecto de las partes, atendiendo además a su consideración de entidad pública que no permitan el ejercicio libre y voluntario del consentimiento de la persona interesada.
  • Se acredite, con carácter general, el consentimiento por escrito, conservando en todo momento la evidencia documental del mismo, sin perjuicio de otros medios que permita la aplicación de las nuevas tecnologías. Si ello no fuese posible, el medio utilizado debe poder permitir la conservación de la clara acción afirmativa de la persona interesada.
  • El modelo para recabar el consentimiento utilizado por el Ayuntamiento -pudiendo optar por dos capas de información una primera más sencilla y otra más ampliada a disposición de los personas afectadas- requerirá de una información pormenorizada que incluya: la referencia al Ayuntamiento como responsable del tratamiento, la finalidad, los destinatarios, la conservación de los datos y cuáles son los derechos en la protección de datos personales y cómo puede ejercitarlos, así como aquellas otras que sean requeridas por la legislación vigentes o los criterios de la AEPD.
  • Que en el supuesto de que existan varias finalidades se requerirá el consentimiento individualizado para cada una de ellas, respetando en todo momento la voluntad y la libre elección de la persona interesada que puede confirmar o revocar cualesquiera de ellos de forma independiente.
  • No podrá supeditarse la ejecución de un contrato al consentimiento de la persona interesada para finalidades distintas al mantenimiento, desarrollo o control de la actividad contractual.
  • El lenguaje utilizado para informar a las personas interesadas del tratamiento de los datos será ser inteligible, sencillo, claro, entendible y accesible.
  • Se establecerán mecanismos gratuitos y de fácil acceso que garanticen la posibilidad de revocación del consentimiento en cualquier momento por parte de las personas afectadas.
  • El Ayuntamiento garantizará la efectividad inmediata de la revocación del consentimiento, pudiendo conservar solo en el supuesto de que exista una obligación legal, incluida la posibilidad de presentar alegaciones por parte de las personas interesadas.
  • La retirada del consentimiento no supone la ilicitud previa del tratamiento que hubiese consentido la persona interesada de forma voluntaria.

Artículo 13—Política para cumplir con el principio de transparencia. Política para la comunicación de datos a terceros. Información a las personas afectadas.

El Ayuntamiento respetará el principio de transparencia en la información a las personas afectadas por el tratamiento de datos personales, estableciendo diversos canales para la transmisión de la información de carácter gratuito y cumpliendo con las prescripciones de artículo 12 del RGPD.

La información será la relacionada en el artículo 13 del RGPD y el artículo 11 de la LOPDGDD, además se pondrá a disposición de las personas interesadas en una primera información:

  • Identificación del Ayuntamiento como responsable del tratamiento y datos de contacto.
  • Forma de canalizar las cuestiones y/o solicitudes al Delegado de Protección de Datos, con sus datos de contacto.
  • Finalidad o finalidades del tratamiento y la base jurídica que legitima su tratamiento para el cumplimiento de una obligación legal o misión de interés público o ejercicio de poder público; (y en determinados supuestos, el consentimiento o la relación contractual).
  • Cesiones o comunicaciones de datos a terceros, con la identificación del fundamento de la comunicación o la existencia de una obligación legal, con referencia a los destinatarios.
  • La existencia de transferencias internacionales de datos. En el supuesto de que los datos se traten fuera de la UE se debe indicar la referencia a la existencia de garantía adecuadas conforme a los artículos 46, 47 o 49 del RGPD.
  • La posibilidad del ejercicio de derechos reconocidos en el RGPD y el canal para su ejercicio, incluida la posible revocación del consentimiento cuando está sea la base de la licitud del tratamiento de los datos personales.
  • Remisión a una información más ampliada en una dirección electrónica u otro medio que permita el acceso a las personas afectadas de forma gratuita, sencilla e inmediata, según lo establecido en el artículo 11 de la LOPDGDD.

Además de esta primera información, se suministrará a las personas interesados la contenida en el artículo 13 en los apartados segundo y tercero del RGPD, sin perjuicio de aquella otra que el Ayuntamiento considere que pueda mejorar la transparencia de la entidad local en el tratamiento de los datos personales.

En el supuesto de que los datos no provengan de la propia persona interesada se debe informar además del contenido recogido en el artículo 14 del RGPD, dentro del plazo establecido, debiendo ser transparentes en las categorías de datos tratados y las fuentes de procedencia de estos, conforme con el artículo 11 de la LOPDGDD.

Artículo 14 —Registro de actividades de tratamiento.

El Ayuntamiento, como medida de carácter organizativo, ha creado un Registro de actividades del tratamiento, según la definición establecida en el artículo 30 del RGPD y según los criterios recogidos en el artículo 31 de la LOPDGDD.

El Registro de Actividades del tratamiento será aprobado por la Alcaldía del Ayuntamiento previa consulta con el delegado de Protección de datos.

El Registro de Actividades del tratamiento será publicado en el Portal de transparencia de la entidad local, según lo establecido en la LOPDGDD y en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno.

El Registro ofrecerá la información relativa al tratamiento de datos personales en cada una de las fichas, de manera accesible, con un lenguaje sencillo y fácil de entender.

El Registro de Actividades del tratamiento tendrá formato electrónico y quedará a disposición de la Agencia española de Protección de datos.

Cuando el responsable funcional de cada área detecte una nueva operación en la que se traten datos personales que no se encuentren recogidos en los conjuntos de actividades incluidos en el Registro de Actividades, comunicará al delegado de Protección de datos la propuesta de incorporación del nuevo tratamiento, iniciando la tramitación del oportuno expediente que será elevado al Órgano competente para, en su caso, aprobación en el Pleno municipal.

Asimismo, el responsable funcional deberá mantener actualizado los tratamientos que, en función de los fines le sean atribuidos. Las modificaciones o supresiones serán aprobadas por el Pleno previa consulta al Delegado de Protección de datos.

El Ayuntamiento desarrollará un procedimiento específico, tramitado en un expediente electrónico de acuerdo con el artículo 70 de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común, para la tramitación de las citadas modificaciones o supresiones, en el que se contemplarán los plazos de respuesta, aprobación y publicación en el Portal de transparencia.

Artículo 15—Política para cumplir el principio de privacidad desde el diseño y por defecto.

1. En virtud del principio de privacidad desde el diseño y por defecto, el Ayuntamiento establecerá las medidas necesarias para la protección por defecto y desde el inicio de los procesos de diseño de nuevas tecnologías o modelos de gobernanza, entre otros, respetando los principios relacionados con la privacidad desde el diseño, aplicando diferentes medidas como: la reducción al máximo de los datos personales tratados (aplicación del principio de minimización), seudonimización de los datos personales en cuento esto sea posible, ser transparentes en el tratamiento de datos personales permitiendo a los interesados la supervisión y al responsable la mejora de los sistemas de seguridad de la información.

2.Los principios de privacidad desde el diseño y por defecto serán tenidos en cuenta en la contratación de servicios, cuando se derive de la naturaleza del contrato, debiendo constar así reflejado en los pliegos de prescripciones técnicas, según lo dispuesto en el artículo 126 de la Ley 9/2017, de 8 de noviembre, con contratos del sector público.

Artículo 16—Política de seguridad para el personal usuario de los datos personales. Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.

1.Cuando la información contenga datos de carácter personal se realizará un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables, según lo establecido en el RGPD.

El análisis, tendrá en cuenta entre otros, los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo el Ayuntamiento, los sistemas de información que sirven de soporte a las actividades de tratamiento, la tipología de los datos tratados y las categorías de personas afectadas.

Asimismo, el Ayuntamiento llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD, teniendo en cuenta también los listados de actividades sujetas a evaluación de impacto publicados por las autoridades de control competentes.

2. La gestión de riesgos de seguridad de la información donde se traten datos personales debe realizarse de manera continua, conforme a los principios de gestión de la seguridad basada en el riesgo, teniendo en cuenta la necesidad de establecer reevaluaciones periódicas de los riesgos evaluados, identificando, en su caso, aquellos nuevos que puedan surgir. Deberá considerarse especialmente las modificaciones en el tratamiento de los datos personales incluidos en el Registro de Actividades del tratamiento.

3.Para el análisis, evaluación y gestión de riesgos se utilizarán las metodologías facilitadas por el Centro Criptológico nacional (CCN), el ENS, así como las guías, recomendaciones y herramientas elaboradas por la AEPD y el Comité europeo.

4.En la realización de los análisis de riesgos y, en su caso, evaluaciones de impacto, deberá contar con el delegado de Protección de datos según las funciones atribuidas por el artículo 37 del RGPD.

Artículo 17—Transferencias internacionales de Datos.

Con carácter general, la entidad local no realizará transferencias de datos personales fuera del espacio de la unión europea, ámbito de aplicación del RGPD.

En el supuesto de que, excepcionalmente, fuese preciso un tratamiento de datos fuera de la unión europea, este deberá realizarse en países que cuenten con un nivel adecuado de protección bien por pertenecer al espacio económico Europeo o por haber sido así calificados por la autoridad de control o bien respetando las salvaguardas establecidas en el Capítulo V del RGPD sobre transferencias internacionales y en la LOPDGDD, en aquellos supuestos no regulados por la normativa europea. Entre otras se pueden citar:

  • Empresas adheridas a códigos de conducta o a normas corporativas vinculantes.
  • Consentimiento de la persona interesada previa información, para realizar la transferencia.
  • La transferencia es necesaria para la ejecución o conclusión de un contrato.
  • La transferencia es necesaria para el establecimiento, ejercicio o defensa de intereses.
  • La transferencia es necesaria para proteger los intereses vitales

Artículo 18— Política para la gestión de brechas de seguridad

El Ayuntamiento adoptará las medidas necesarias para garantizar la notificación de las violaciones de seguridad de los datos de carácter personal que pudieran producirse a través del procedimiento establecido al efecto, de conformidad con lo dispuesto en el artículo 33 del RGPD, el procedimiento estará vinculado a la comunicación de incidentes de seguridad de la información al CCN-CERT, según las directrices señaladas por el citado organismo.

Igualmente adoptará las medidas procedentes para la comunicación a las personas que pudieran haberse visto afectadas por la violación de seguridad de los datos de carácter personal, conforme a lo dispuesto en el artículo 34 del RGPD, la forma de notificación será desarrollada en el mismo procedimiento del apartado anterior. La comunicación remitida a las personas afectadas se realizará con una explicación accesible, entendible y pormenorizada de los datos de las personas afectadas por el incidente y de las potenciales repercusiones que pueden producirse en la esfera de la intimidad personal o familiar.

En todo caso, se respetarán los plazos establecidos en el RGPD para su notificación, teniendo en cuenta también las directrices que en la materia han sido dictadas por la AEPD o las del Comité europeo de Protección de datos.

En la relación con los encargados del tratamiento del Ayuntamiento que puedan tratar datos personales se dictarán directrices para la rápida actuación y comunicación de los incidentes de seguridad que puedan producirse.

Artículo 19—Política de gestión de los derechos de las personas interesadas.

Las personas interesadas podrán ejercitar los derechos reconocidos en el RGPD directamente, previa acreditación de su identidad o por medio de un representante, según lo establecido en el artículo 12 del RGPD y el artículo 12 de la LOPDGDD.

La acreditación de la representación podrá realizarse por cualquier medio válido en derecho, incluyendo los medios telemáticos que pueda poner a disposición el Ayuntamiento en su sede electrónica.

El Ayuntamiento para el ejercicio de derechos habilitará diversos canales de comunicación accesibles y gratuitos, facilitando modelos de formularios para una mejor comprensión a las personas afectadas de cómo pueden ejercitar sus derechos. Si entre los canales a disposición de las personas afectadas el Ayuntamiento habilita un medio de comunicación y recepción de las notificaciones a través de su sede electrónica, la identidad podrá acreditarse mediante el DNI-e o certificado electrónico reconocido o cualificado.

Los medios a disposición de las personas interesadas serán los siguientes, sin perjuicio de que la persona interesada pueda presentar la solicitud por otro canal:

  • Correo postal.
  • Presentación presencial en el Registro general del Ayuntamiento.
  • Registro electrónico en la sede electrónica del Ayuntamiento.
  • A través del delegado de protección de datos, cuyos datos de contacto serán publicados en la web del Ayuntamiento. Se indicará un email donde puedan dirigirse los ciudadanos. A continuación, les indicamos el contenido del contacto y donde ubicarlo dentro de la web:

En la pestaña de Política de Privacidad añadir el contenido que les indicamos a continuación (se puede incorporar tras los datos del Responsable del Tratamiento)

DELEGADO DE PROTECCIÓN DE DATOS

Los datos de contacto de nuestro delegado de protección de datos:

Nombre: Evaluadores de datos, S.L.

Dirección: C/Periodista Fernando Gómez de la Cruz, 61, P0, oficina 8 CETIC, 18014 Granada

Teléfono: 958 33 21 11

Email: delegadodeprotecciondedatos@dataevalua.com

En caso de contactar en este email ponga en el asunto: “Ayto Huétor Tajar-Protección de datos”.

En el supuesto de que la persona afectada no presente de forma adecuada su identificación o el Ayuntamiento tenga dudas sobre la identidad de la persona afectada podrá requerirle la subsanación o aportación de documentación adicional.

Para la tramitación de las solicitudes de las personas afectadas el Ayuntamiento dictará los procedimientos internos precisos para dar respuesta en tiempo y en la forma elegida, siguiendo lo establecido en el RGPD y en la LOPDGDD.

Artículo 20— Política anual de formación y sensibilización en protección de datos para el personal del Ayuntamiento.

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal que presta sus servicios en el Ayuntamiento, así como a la difusión entre los mismos de esta Política y de las instrucciones y políticas internas que deban desarrollarse.

El Ayuntamiento dispondrá los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes en el respeto a la intimidad y la protección de los datos de las personas que se relacionen con la entidad local, así como de los riesgos existentes en el tratamiento de la información.

Artículo 21—Medidas de seguridad de la información.

Las medidas de seguridad de la información, según los riesgos evaluados, deberán ser adecuadas al contenido del esquema nacional de seguridad, según lo establecido en la LOPDGDD.

Artículo 22—Plazo de conservación y bloqueo.

1.La conservación de los datos personales tratados por el Ayuntamiento tendrá en cuenta:

  • La finalización de la finalidad por la que fueron recogidos y tratados.
  • Los plazos de la gestión de la política documental y archivo del organismo.
  • La prescripción de las infracciones o de la posible presentación de reclamaciones con independencia del orden al que pertenezcan.
  • Cualquier obligación legal existente en relación con la conservación de los documentos.

Si la entidad local dispusiese de datos personales en archivos permanentes, el tratamiento de datos personales se fundamentará en el interés público de conservación, según lo previsto en la vigente legislación en materia de archivo documental y conservación del patrimonio.

3. Los datos personales que, una vez finalizado el tratamiento sean conservados para la prescripción de infracciones o presentación de reclamaciones, permanecerán bloqueados según lo previsto en el artículo 32 de la LOPDGDD.

TÍTULO IV. DE LAS RELACIONES CON TERCEROS EN EL TRATAMIENTO DE DATOS PERSONALES

Artículo 23—Principios generales.

1. En su posición de responsable del tratamiento, la entidad local, dictará instrucciones en los pliegos de contratación que formarán parte del contrato administrativo a los encargados del tratamiento, pudiendo, eventualmente, dictar instrucciones no previstas inicialmente por escrito, respetando los principios de la normativa de protección de datos personales, la presente Política y aquellas otras emanadas por la AEPD o el Comité europeo de Protección de datos.

Se requerirá, especialmente, que el personal que trabaje para los encargados del tratamiento haya sido informado y formado sobre la normativa de protección de datos personales y las instrucciones del Ayuntamiento, incluyendo lo relacionado con las medidas de seguridad de la información, además de los deberes de deber de secreto y confidencialidad requerido.

Para los tratamientos de datos incidentales por parte de terceros que presten un servicio al Ayuntamiento los pliegos de contratación contemplarán la necesidad de que el contratista informe a sus trabajadores sobre la normativa de protección de datos personales y la necesidad de mantener medidas de diligencia debida, respetando los deberes de secreto y confidencialidad en sus actuaciones.

2.El Ayuntamiento debe tener en cuenta que de acuerdo con el artículo 73 apartado j) de la LOPDGDD en el supuesto de que se externalicen la gestión de algún servicio público en terceros encargados del tratamiento, entre las garantías suficientes que pueden solicitar a los licitantes en el pliego de contratación, es la declaración responsable de la existencia de políticas de protección de datos en la organización para garantizar el cumplimiento de la normativa de protección de datos de carácter personal.

Artículo 24-Encargados del tratamiento del Ayuntamiento.

El Ayuntamiento, en la redacción de los contratos para la prestación de servicio o aquellos otros en los que puedan tratarse datos personales responsabilidad de la entidad local, tendrá en cuenta los principios en materia de protección de datos del artículo 28 del RGPD en todo el ciclo del tratamiento de los datos personales desde la elección de los contratistas, que deben ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas respetando la libre concurrencia y competencia en las licitaciones públicas, hasta la finalización de la relación contractual con la devolución o, en su caso, destrucción de los mismos.

Los pliegos de contratación establecerán las medidas que el Ayuntamiento propone para el control, evaluación y, en su caso, auditoría sobre las medidas técnicas y organizativas adoptadas por el Encargado del tratamiento, verificando el grado de cumplimiento de la normativa vigente y de las instrucciones dadas en los contratos al efecto.

En el supuesto de que el Ayuntamiento admita la subcontratación en un encargo del tratamiento, será precisa su autorización previa, con conocimiento detallado de los datos personales de las personas afectadas, el tratamiento a realizar, las medidas de seguridad de la información, las posibles transferencias internacionales de datos y el resto de las condiciones pactadas entre las partes en materia de protección de datos, requiriéndose la firma de un acuerdo por escrito entre el contratista y el subcontratista autorizado.

TÍTULO V. DE LAS MEDIDAS DE CONTROL Y EVALUACIÓN

Artículo 25—Revisión y auditoría.

El Ayuntamiento llevará a cabo de forma periódica, cumpliendo con los plazos establecidos en la normativa vigente o a iniciativa propia, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar el adecuado tratamiento de los datos personales.

En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información propio de la entidad local que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas para el tratamiento de los datos personales o cuando se hayan detectado incidentes de seguridad reiterados o ante los cambios de la normativa vigente en materia de seguridad de la información.

Las auditorías serán supervisadas por el delegado de Protección de datos.

Se deberá tener en cuenta en las modificaciones de la organización interna de la Entidad local su efecto sobre las medidas organizativas en materia de protección de datos para, en su caso, proceder a realizarse una revisión de éstas.

Artículo 26—Revisión de la Política de protección de datos.

La presente política se someterá a un proceso de revisión a fin de adaptarse a las circunstancias técnicas u organizativas que puedan surgir o en respuesta a las nuevas necesidades en el tratamiento de datos personales por parte del Ayuntamiento. La revisión se realizará con carácter obligatorio cuando entren en vigor modificaciones de las normas que afectan directa o indirectamente a la protección de datos personales o a la estructura o fines del Ayuntamiento.

TÍTULO VI. POLÍTICAS DE PRIVACIDAD DEL AYUNTAMIENTO RESPECTO DE LAS MEDIDAS A IMPLEMENTAR RESPECTO DEL USO DE LAS TECNOLOGÍAS

27-El uso de las redes sociales en el Ayuntamiento

  1. Aspectos generales

A diferencia de los sitios web gestionados directa o indirectamente por el propio Ayuntamiento y sobre los que es posible un control total del contenido y del tipo de servicio prestado, la red social es un entorno que no está pensado inicialmente para el uso administrativo y que, en general, no se adapta a él. En cualquier caso, supone un tratamiento que tiene que cumplir con lo establecido en el RGPD.

La relación del Ayuntamiento con las redes sociales puede tomar muchas formas. La más conocida sería la presencia de perfiles ‘oficiales’ del organismo en redes sociales abiertas o comerciales, aunque no pueden obviarse otros usos como las redes sociales cerradas utilizadas como vehículo de comunicación interna, las redes o grupos no oficiales de empleados, los empleados que publican en redes sociales a título individual, y por último podríamos incluso hablar de la aparición y referencia a las Administraciones en perfiles, publicaciones o comentarios de terceros.

2.En todo caso, en esta política se deben de marcar las recomendaciones a seguir y que a continuación les indicamos respecto de su uso tanto de forma interna como de forma individual, así como su uso para ofrecer servicios a los ciudadanos:

  1. Uso de las redes sociales de forma interna

            Un posible uso interno de las redes sociales es el que resulta de las comunicaciones informales de los empleados, que forman grupos para dialogar o intercambiar mensajes y noticias como lo harían de forma informal en los pasillos de la organización.

En la Política de Información de la entidad se definirán claramente los límites de usos de redes sociales fuera del entorno estrictamente personal, así como el uso de los BYOD (Bring Your Own Device) traducido su significado “trae tu propio dispositivo”. Hay que tener claro que, si en la política se admiten este tipo de canales de comunicación, se está admitiendo un tratamiento del que será responsable la entidad y, por lo tanto, habrá de cumplir con los establecido en el RGPD y en el ENS (Disposición adicional primera de la LOPDGDD).

Que los empleados publiquen información profesional puede infringir los principios de protección de datos, cuando se incluye información personal y se carece de legitimación.

En la Política de Información de la entidad ha de quedar claro, al menos desde la perspectiva de protección de datos, la prohibición de realizar el tratamiento de datos personales relativos a la actividad de la entidad a través de los perfiles personales en las redes sociales de los empleados, quedando los empleados que realicen ese tratamiento ilegítimo como responsables del tratamiento.

  • El uso de redes sociales por la administración local para ofrecer servicios a los ciudadanos

Cuando una Administración Pública decide ofrecer información o servicios a los ciudadanos a través de una red social, no se puede obligar al administrado a que sea el único medio para dicho servicio, es decir, deben de proporcionarse canales alternativos a través de los cuales recibir un determinado servicio o como medio de información.

El servicio proporcionado a través de la red social deberá cumplir con todas las obligaciones establecidas en el RGPD, entre ellas el deber de informar. Esta obligación podría implementarse en un post fijado al inicio de la cuenta de forma que el usuario pueda acceder fácilmente y que proporcionase la política de privacidad o un enlace a la misma.

Un caso especial es la implementación de servicios en redes sociales orientados específicamente a menores. En estas situaciones, cuando la actividad en la red social implique tratamiento de datos de menores de 14 años hay que garantizar que el consentimiento para el tratamiento de los datos ha sido prestado por los padres o tutores del menor.

El tratamiento de los datos por parte de las redes en la que los usuarios disponen de cuenta se basará, en general, en aquellos necesarios para la ejecución del contrato de servicio o en el consentimiento prestado. Hay que distinguir dichas causas de legitimación de las de aquellos tratamientos de los datos de los ciudadanos realizados por las AA.PP. con perfil en las redes sociales derivados de la interacción con las personas a raíz de la información proporcionada por la Administración a través de su cuenta oficial y cuya legitimación para ser tratados por la AA.PP. estaría basada en el cumplimiento de una misión realizada en interés público o en el ejercicio de los poderes públicos conferidos.

Por ejemplo, en caso de los widgets a las redes sociales incluidas en los portales del Ayuntamiento, antes de permitir el uso de cookies por dichos recursos, es necesario que el Ayuntamiento recabe el consentimiento previo del visitante de sus páginas, manteniendo los widgets deshabilitados hasta su obtención. La entidad, en cualquier circunstancia, ha de garantizar que los datos tratados son los estrictamente necesarios para el cumplimiento de los fines legitimados, en cumplimiento del principio de minimización.

La mayoría de las redes sociales no ofrecen niveles de calidad de servicio lo suficientemente contrastados para que se puedan convertir en instrumentos de notificación, ya que no se puede garantizar la integridad de la información proporcionada y que esta no va a ser recortada o enriquecida con publicidad u otros contenidos ajenos. Tampoco existen garantías de confidencialidad en la transmisión de una información a la red social ya que, en algunas de ellas, es posible el acceso al contenido por parte de la propia red social, o bien la configuración de privacidad del perfil del usuario puede permitir el acceso indiscriminado a las publicaciones realizadas, consentimiento que no es implícito sobre el contenido remitido por una Administración. Es por ello que, el Ayuntamiento ha de disponer de una política de comunicación en redes sociales que ha de reflejar aspectos de la Política de Protección de Datos de la entidad tales como los siguientes:

• Una responsabilidad clara y embebida de forma eficiente en la cadena de responsabilidades de la organización, de manera que la comunicación por la red o redes sociales esté bien alineada con el resto de la política de comunicación institucional.

Un documento informativo para los empleados públicos donde se indique qué pueden hacer y qué no en la red social del Ayuntamiento. Si se parte de la base de que las redes sociales son un apoyo o complemento a una página web y una sede oficial, es más fácil limitar el servicio y evitar riesgos.

• Una formación adecuada a las personas encargadas de publicar contenidos y atender a comentarios y cuestiones, detallando:

  • Qué información personal se puede publicar y cual no.
  • En el caso de que se publiquen documentos extractados o anonimizados, debe hacerse con garantías para no divulgar, por ejemplo, los datos de la firma electrónica del firmante o el código seguro de verificación que permitiría recuperar todo el documento.
  • La forma en la que se debería dialogar con los usuarios.
  • Cómo deben escalarse o comunicarse internamente los mensajes, avisos recibidos a través del canal que contengan datos de carácter personal y que precisen de atención, como solicitudes de retirada de contenidos, peticiones que revelan los datos del peticionario a terceros.

3. Riesgos para los derechos y libertades de los usuarios asociados a las redes sociales de las administraciones

Una vez que se ha diseñado un tratamiento a través de redes sociales que cumple con los requisitos establecidos en el RGPD, es necesario analizar los riesgos que para los derechos y libertades de los ciudadanos se pueden originar, con el fin de llevar a cabo la gestión adecuada de los mismos.

Uno de los riesgos es que se produzcan errores en la aplicación de las políticas de comunicación a través de redes sociales que desvelen datos de carácter personal de forma indeseada tanto de los administrados como de los propios empleados públicos.

            Para reducir el riesgo es necesaria la definición de una política interna clara y bien conocida por el personal sobre las implicaciones y consecuencias de la participación en redes sociales.

Se debe definir claramente en la política tanto las directrices de la gestión de las cuentas oficiales, de las redes internas, así como los consejos para la participación, a título personal, en redes no oficiales. En particular, debe detallarse aquello que puede publicarse o no en redes sociales, las consecuencias para aquellos que vulneren las normas, las actividades de formación que han de seguir los empleados, la auditoría periódica de los procesos de publicación, así como una vigilancia permanente, por parte de las personas de la organización que gestionan la presencia en las redes, para velar por la seguridad de los tratamientos realizados en este contexto y dar una respuesta proactiva a cualquier incidencia.

Por ejemplo, en la difusión de contenido por parte de las AA.PP. a través de servicios de mensajería instantánea, la utilización de listas de difusión o canales, en lugar de grupos, evita la identificación de los participantes entre sí.

También es aconsejable, además de los cursos de formación impartidos entre el personal involucrado, comprobar periódicamente que se cumplen las políticas definidas por la entidad con relación a las redes sociales internas, el uso del BYOD o la utilización de redes personales en las que se divulga información personal relativa a la entidad.

Por ejemplo, cuando se lleven a cabo procesos de participación o encuesta de los ciudadanos a través de la red social, hay que analizar los riesgos de reidentificación por terceros vinculados con los metadatos recogidos en el proceso de encuesta, como direcciones IP o firmas de los dispositivos empleados por los usuarios, así como la posible vinculación de las respuestas con otros datos de carácter personal en poder de la Administración Pública.

En caso de que el acceso a los contenidos de la red social requiera iniciar una sesión por parte del administrado, la Administración Pública ha de evaluar las garantías de privacidad, incluyendo las medidas de seguridad orientadas a la privacidad que proporciona dicha red, especialmente la política de creación de usuarios y contraseñas.

Artículo 28. El uso de las cookies y otras tecnologías de seguimiento en el Ayuntamiento

  1. Las cookies en el Ayuntamiento. Aspectos generales

Los sujetos obligados por la normativa que regula las cookies son los prestadores de servicios de la sociedad de la información, entendidos estos como “toda persona física o jurídica que proporciona servicios prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, así como aquellos servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

El Ayuntamiento por el hecho de disponer de un portal web, no sería necesariamente considerado como un proveedor de servicios de la sociedad de la información y, en consecuencia, como un sujeto obligado de la LSSI. Solo podrá considerarse como tal si ofrece un “servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”, por ejemplo, si en un dominio perteneciente a una Administración Pública se presta algún tipo de servicio que implique una actividad económica, como la venta de libros, entradas, etc. En ese caso, sí le será de aplicación la LSSI para aquellos dominios concretos en los que se lleve a cabo dicha actividad económica.

            Es habitual que en una página web se encuentren componentes embebidos de terceros, herramientas y aplicaciones como redes sociales (Twitter, Facebook, etc.), canales de distribución de contenidos (Youtube, Vimeo, etc.), u otros servicios como mapas o traductores que implican la utilización de cookies de seguimiento, análisis o publicidad. El permitir el uso de dichas cookies a cambio de la posibilidad de poder incluir dichos servicios en el portal web podría constituir una actividad económica siempre que dichas herramientas o aplicaciones se ejecuten embebidos en el propio dominio de la Administración Pública y no sean enlaces a páginas de terceros. Bajo estas circunstancias, los organismos de las AA.PP. que hagan uso de servicios de terceros que impliquen el uso de cookies deberán de aplicar las obligaciones y garantías establecidas en la normativa especial y las guías de la AEPD.

            Este aspecto se ha regulado en un informe específico que se ha realizado para la web del Ayuntamiento https://huetortajar.org/

            Siempre que se incluyan cookies de terceros, también cuando se proporcionen los medios que permitan el tratamiento de datos personales por terceros, ya sea en los casos anteriores u otros casos tales como permitir la utilización de cookies analíticas de terceros, el Ayuntamiento ha de ser diligente a la hora de identificar que tienen lugar estos tratamientos y de garantizar que se cumplan los deberes de información y obtención del consentimiento de los usuarios.

  • Riesgos para los derechos y libertades asociados al uso de cookies

Uno de los principales riesgos del uso de cookies, u otras tecnologías de seguimiento, es la recopilación de información personal más allá de lo necesario para el propósito del tratamiento, especialmente con relación a las categorías especiales de datos, ya sea de forma directa o indirecta, o bien proporcionar los medios para que terceros lo hagan. Por ello, es necesario evaluar, incluso para las cookies técnicas, hasta qué punto su uso puede determinar una recogida de información adicional del USUARIO y tomar las medidas adecuadas para minimizar dicho riesgo.

Un elemento para gestionar dicho riesgo, aunque no el único, es realizar auditorías periódicas de los componentes, el tipo de datos tratados, el destino del tráfico generado por las aplicaciones, el grado de vinculación de dicha información con las operaciones del usuario en las AA.PP., así como un análisis de las inferencias adicionales y efectos colaterales que se podría realizar sobre el administrado.

Disposición adicional primera. Desarrollo de procedimientos.

Corresponde a la Secretaría del Ayuntamiento, asistido por el Delegado de Protección de Datos, la adopción de los procedimientos, guías e instrucciones técnicas necesarios para el desarrollo de la presente Política.

En el proceso de desarrollo normativo podrá requerirse la colaboración de los responsables funcionales.

Disposición adicional segunda. Publicidad

La presente Política, en aplicación del principio de transparencia establecido en el RGPD será publicado en el portal de transparencia de la Entidad local.

Disposición final única. Entrada en vigor

Esta Política entrará en vigor a partir del día siguiente a su publicación en el portal de transparencia de la Entidad Local

Puede descargarse la resolución aprobada por Alcaldía en el siguiente enlace:

Resolución de Protección de Datos

El Excelentísimo Ayuntamiento de Huétor Tájar, es el responsable del tratamiento de los datos personales,  por ello le informamos que estos datos serán tratados de conformidad con lo dispuesto en las normativas vigentes en protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), y en la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por lo que se le facilita la siguiente información del tratamiento

El Excelentísimo Ayuntamiento de Huétor Tájar, estamos comprometidos con la protección de tu privacidad. Queremos ser transparentes sobre los datos que recopilamos, cómo los utilizamos y los derechos que tienes para controlar tus datos.

¿Con qué finalidad tratamos sus datos personales?

Los datos que se nos facilitan, así como cualesquiera otros generados durante el desarrollo de la relación con la persona ciudadana/interesada, los podemos tratar para distintas finalidades en función de los servicios municipales que sean objeto de prestación y, en todo caso, para mantener el contacto y la comunicación con ésta y gestionar la prestación de los servicios demandados /o prestados por este Ayuntamiento.

Las finalidades más explícitas y concretas pueden indicarse en las cláusulas informativas incorporadas en cada una de las vías de toma de datos (formularios web, formularios en papel, locuciones o carteles y notas informativas) para supuestos concretos.

  1. En la web:

Esta página web tiene como finalidad principal facilitar información a los ciudadanos y ciudadanas en relación al tratamiento de datos llevados a cabo por el Ayuntamiento tanto en este portal como en las diferentes relaciones, servicios o actividades que se llevan a cabo por la entidad.

Facilitamos información de las distintas áreas municipales: bienestar social e igualdad, cultura, deportes, empleo y desarrollo local …etc.

información al ciudadano y ciudadana de noticias de actualidad e interés público: subvenciones, información sobre los plenos…etc.

Información a los posibles proveedores y licitantes del ayuntamiento para la adjudicación de contratos de servicios, de suministros, de obras, de servicios públicos …etc., dándoles a conocer la información y solicitud para el acceso a los mismos.

Respecto a la publicación de datos personales en redes sociales que puede compartir nuestra web, en ningún caso se tratan dichos datos más allá de responder a sus consultas o sugerencias y la política de privacidad es la marcada por las entidades responsables de esos sitios. No podemos hacernos responsables de la información personal que cada USUARI@ pueda publicar.

El Ayuntamiento es el responsable del tratamiento de los datos personales del USUARI@ que se lleve a cabo en dichas redes sociales:

  • Tramitar solicitudes y consultas planteadas
  • Informar sobre actividades y eventos organizados
  • Interactuar a través de los perfiles oficiales.

Imágenes: Publicación de imágenes en la galería de las actividades llevadas a cabo por el Responsable del tratamiento para dar publicidad de las mismas.

Damos acceso mediante enlace a el Portal de la sede electrónica , mediante enlace el cual podrá acceder el ciudadan@   el cumplimiento de las obligaciones de publicidad activa y derecho de acceso a la información pública que establecen la legislación estatal (Ley 19/2013 de Transparencia, de 9 de diciembre, acceso a la información pública y buen gobierno), autonómica (Ley 1/2014, de 24 de junio, deTransparencia Pública de Andalucía) y la específica de este municipio (Ordenanza Municipal reguladora de Transparencia, acceso a la información y reutilización).

Dicha Sede Electrónica, cumple con el Esquema Nacional de seguridad para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

Desde ella el ciudadan@ podrá acceder a información relativa a impresos y trámites que el USUARI@/a podrá descargarse para su presentación de forma presencial o digital mediante e-mail indicado en el documento a presentar (firmados con certificado digital) en el Excelentísimo Ayuntamiento de Huétor Tájar, tales como: instancia General, Solicitud de certificado de empadronamiento etc. Así mismo desde la sede electrónica podrá acceder a la Información del Tablón de anuncios para mantener informados a los USUARI@s de la web sobre cuestiones de interés.

Las operaciones previstas sobre las que se realizará el tratamiento de datos personales fuera de esta web estarán recogidas en el Registro de actividades:

El Excelentísimo Ayuntamiento de Huétor Tájar en cumplimiento de lo dispuesto en el artículo 30 del RGPD y del artículo 31 de la LOPDGDD ha confeccionado un Registro de Actividades de Tratamiento, que se hará público y accesible por medios electrónicos a través de la web municipal en cumplimiento del citado artículo 31 de la LOPDGDD. Este documento se pondrá a disposición de la Agencia Española de Protección de Datos como Autoridad de Control competente en el momento en el que sea requerido.

¿Qué tipo de datos tratamos?

Además de los diferentes medios de obtención citados, así como las diferentes finalidades de tratamiento expuestas, le informamos que los tipos de datos pueden ser tratados en nuestro sistema de información:

Datos de la propia persona interesada:

Puede que nos los hayas facilitado tú, bien sea online u offline al solicitar nuestros servicios para poder mantener la relación contigo.

Si los datos los has aportado a través de este sitio web o cualquiera de sus subdominios, microsites y/o aplicaciones móviles, debes saber que recopilamos información, por ejemplo, cuando cumplimentas cualquier formulario con datos personales o cuando te comunicas con nosotr@ por correo electrónico.

Cuando facilitas tus datos personales, garantizas que eres la persona habilitada para facilitar esta información y que la información es cierta, veraz, exacta y actualizada; que no es confidencial; que no viola ninguna restricción contractual o derechos de terceros y que te comprometes a no suplantar a otras personas usuarias utilizando sus datos en los distintos servicios y/o contenidos del sitio web.

Por obtención de forma automática al visitar nuestro sitio web

Cuando visitas nuestra web se envían datos desde tu navegador a nuestro servidor, para optimizar nuestros servicios y mejorar tu experiencia como USUARI@/a; por ejemplo, cuando accedes a la página o cuando inicias sesión en nuestros servicios a través de servicios de terceros, como redes sociales.

En estos casos, estos datos pueden incluir:

  • la dirección IP del USUARI@/a
  • la fecha y la hora de la visita
  • la URL del sitio del que proviene el USUARI@/a
  • las páginas visitadas en nuestro sitio web
  • información sobre el navegador utilizado (tipo y versión del navegador, sistema operativo, etc.).

Podemos tratar y registrar dichos usos, sesiones e información relacionada, ya sea en forma independiente o con la ayuda de servicios de terceros, incluso mediante el uso de «cookies» y otras tecnologías de seguimiento.

A través de comunicación por un tercero de los datos de la persona interesada

Conforme  a lo dispuesto en el  art. 28.2 de la Ley 39/2015 de 1 de Octubre del Procedimiento Administrativo Común de las Administraciones Públicas, el  Ayuntamiento de Huétor Tájar podrá consultar o recabar documentos elaborados por cualquier administración siempre que el tratamiento de los datos sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Ayuntamiento (art. 6.1 e) RGPD), ya que la Ley 39/2015 de 1 de Octubre establece que las administraciones públicas no requerirán a las personas interesadas, datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por éstas a cualquier administración.

Con respecto a los datos de otras personas, debes respetar su privacidad teniendo precaución al comunicar o publicar sus datos de carácter personal.

Sólo la persona titular puede autorizar el tratamiento de sus datos personales. Si nos facilitas datos de terceros, es tu responsabilidad contar con su consentimiento previo y expreso para utilizarlos y comunicárnoslos, y es tu responsabilidad informarles del tratamiento de sus datos por nuestra parte. La publicación de datos de terceros sin su consentimiento puede infringir, además de la normativa sobre protección de datos, la relativa al derecho al honor, a la intimidad o a la propia imagen de dichos terceros.

¿Por cuánto tiempo conservaremos sus datos?

Los datos personales se conservarán mientras se mantenga relación con usted, bien como ciudadan@ o bien como otro tipo de interesado; mientras no se solicite la supresión de estos; o mientras exista alguna previsión o exigencia legal de conservación de estos.

Cuando los datos dejen de ser necesarios para las finalidades por las que fueron recabados serán suprimidos asegurando la confidencialidad de estos.

¿Cuál es la legitimación para el tratamiento de sus datos?

La base jurídica que nos legitima para el tratamiento de tus datos puede ser diversa: en unos casos puede ser el consentimiento de las personas interesadas, en otros el cumplimiento de una obligación legal por nuestra parte, en otros el cumplimiento por el Ayuntamiento de una misión realizada en interés público o en ejercicio de Poderes Públicos, en otros la protección de intereses vitales y en otros la ejecución de un contrato.

La aportación de los datos solicitados es obligatoria por ser imprescindibles para atender tu petición y/o prestar nuestros servicios; si no los facilitas, no podremos llevarla a cabo o prestarlos.

¿A qué destinatarios se comunicarán sus datos?

En algunos casos, es necesario que accedan a la información que nos ha proporcionado terceras partes para poder prestarle el servicio solicitado, por ejemplo, empresas que nos prestan otro tipo de servicios como son: tecnología de la información (almacenamiento y procesamiento de la información, etc.)

Estas terceras partes solo tienen acceso a la información personal que necesitan para llevar a cabo dichos servicios. Se les exige que mantengan en confidencialidad su información personal y no pueden utilizarla de ninguna otra forma que aquella que les hemos solicitado.

Los datos de los interesados no serán comunicados a ningún tercero, salvo obligación legal al respecto.

¿Cuáles son sus derechos cuando nos facilita y/o tratamos sus datos?

Como interesado, usted podrá en cualquier momento solicitarnos el ejercicio de cualquiera de los siguientes derechos que le asisten en materia de protección de datos:

  • Acceder a sus datos: Tiene derecho a acceder a sus datos para conocer qué datos personales estamos tratando que le conciernen.
  • Solicitar la rectificación o supresión de sus datos: En determinadas circunstancias, tiene derecho a rectificar aquellos datos personales que considere inexactos y que le conciernan, y que sean objeto de tratamiento por parte de las entidades, así como derecho a solicitar la supresión de sus datos cuando, entre otros motivos, los datos ya no fueran necesarios para los fines que fueron recogidos.
  • Solicitar la limitación del tratamiento de sus datos: En determinadas circunstancias, tendrá derecho a solicitarnos la limitación del tratamiento de sus datos, en cuyo caso le informamos que únicamente conservaremos los datos sobre los que haya solicitado limitación en el tratamiento para el ejercicio o defensa de reclamaciones.
  • A la portabilidad de sus datos: En determinadas circunstancias, tendrá derecho a recibir los datos personales que le incumban, y que nos haya facilitado, en un formato estructurado de uso común y lectura mecánica, así como a que sean transmitidos por parte de nuestra empresa a otro responsable del tratamiento.
  • Oponerse al tratamiento de sus datos: En determinadas circunstancias y por motivos relacionados con su situación particular, tendrá derecho a oponerse al tratamiento de sus datos en cuyo caso, dejaríamos de tratarlos salvo que debamos continuar haciéndolo por motivos legítimos imperiosos o para el ejercicio o la defensa de posibles reclamaciones.
  • Derecho a presentar una reclamación ante la Autoridad de control si no ha obtenido satisfacción en el ejercicio de sus derechos, en este caso ante el Consejo de Transparencia y Protección de Datos de Andalucía es ctpda@juntadeandalucia.

Le informamos que podrá ejercitar sus derechos sobre sus datos personales a través de cualquiera de las siguientes vías:

  •  Representante legal: Excelentísimo Ayuntamiento de Huétor Tájar

Delegado en protección de datos:

 Delegado en protección de datos: Evaluadores de datos S.L. (Evalúa Data Consulting)

  • Dirección postal: C /Periodista Fernando Gómez de la Cruz, s/n, CETIC-UGR, Oficina 8, Planta Baja, 18014 Granada.
  • Dirección electrónica: delegadodeprotecciondedatos@dataevalua.com, deberá de señalar en el asunto del correo “Ayuntamiento de Huétor Tájar”.

Envío de comunicaciones o información

Nuestra política con respecto al envío información a través de medios telemáticos (correo electrónico, mensajería instantánea, etc.), se limita a enviar únicamente comunicaciones que consideremos de interés para nuestros USUARI@s e interesados, en relación con las funciones y actividad del ayuntamiento o que usted haya consentido recibir.

Si prefiere no recibir estos mensajes, le ofreceremos a través de estos la posibilidad de ejercer su derecho de cancelación y renuncia a la recepción de estos mensajes, en conformidad con lo dispuesto en el Título III, artículo 22 de la Ley 34/2002 de Servicios para la Sociedad de la Información y de Comercio Electrónico.

2. CARÁCTER OBLIGATORIO O FACULTATIVO DE LA INFORMACIÓN FACILITADA POR EL USUARI@

El USUARI@ garantiza que los datos que aporte son verdaderos, exactos, completos y se encuentran actualizados, siendo responsable de cualquier daño o perjuicio, directo o indirecto, que pudiera ocasionarse como consecuencia del incumplimiento de tal obligación.

En caso de que el USUARI@ aporte datos pertenecientes a un tercero, garantiza que ha informado a dicho tercero de la totalidad de aspectos contenidos en la presente Política de Privacidad y obtenido su consentimiento para facilitarnos sus datos para la finalidad de tratamiento de que se trate. Todo ello, con carácter previo al suministro de datos de un tercero.