Documentación de DE LUCAS RESTAURACIÓN, S.L. para cumplir la normativa sobre protección de datos personales

La presente documentación debe ser leída, aplicada, firmada y custodiada por DE LUCAS RESTAURACIÓN, S.L.

Igualmente, debe ser entregada al personal laboral de DE LUCAS RESTAURACIÓN, S.L.

El objetivo de esta documentación es facilitar el cumplimiento del Reglamento (UE) General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD).

En caso de duda sobre el modo en que ha de aplicarse o cumplirse cualquiera de las directrices a que se refiere esta documentación, podrá consultarse con Picón & Asociados Abogados (91.457.56.14 / picon@piconyasociados.es).

Registro de Actividades de Tratamiento de Datos Personales de DE LUCAS RESTAURACIÓN, S.L.

El RGPD regula en su artículo 30 el denominado “Registro de actividades de tratamiento”, que sustituye la inscripción de ficheros (vigente con la anterior LOPD 15/1999) y establece que cada responsable y, en su caso, el encargado del tratamiento, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

Dicho registro deberá contener la siguiente información: 

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

  • los fines del tratamiento;

  • una descripción de las categorías de interesados y de las categorías de datos personales;

  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad 

El registro de actividades de tratamiento debe estar a disposición de la Agencia Española de Protección de Datos, por lo que es muy recomendable que siempre se incluyan en él los nuevos tratamientos, antes de sacarlos a producción, y que se mantengan actualizados (considerando 82 y artículo 30 RGPD).

A continuación, se incluye el Registro de Actividades de tratamiento de DE LUCAS RESTAURACIÓN, S.L.

La fecha de la última revisión de este registro de actividades del tratamiento es 19 de mayo de 2023.

1. Identificación del responsable del tratamiento

DE LUCAS RESTAURACIÓN, S.L., con CIF B19293331 y domicilio en Avda. Alcalá, 18, 19200, Azuqueca de Henares (Madrid).

2. Tratamiento de “Gestión”

  • Finalidad del tratamiento de los datos

    ◦ Gestión de clientes y proveedores, gestión contable, fiscal y administrativa.

    ◦ Envío de comunicaciones comerciales. Prospección comercial.

    ◦ Gestión de la reserva de mesas del restaurante. 

  • Base legitimadora del tratamiento: Existencia de relación contractual (art. 6.1.B) RGPD) e interés legítimo (ART. 6.1 F) RGPD

  • Medidas de seguridad técnicas y organizativas: Medidas recogidas en la política de seguridad de DE LUCAS RESTAURACIÓN, S.L. (riesgo escaso).

  • Categorías de datos personales afectados:

    ◦ Datos identificativos: NIF, nombre y apellidos, dirección, teléfono, firma.

    ◦ Datos de Información Comercial (actividades y negocios, licencias comerciales, etc.): actividades y negocios, licencias comerciales.

    ◦ Datos económicos y financieros (ingresos, situación financiera, situación fiscal, etc.): datos bancarios, tarjetas de crédito, datos de seguros.

    ◦ Datos de Transacciones de bienes y servicios: transacciones financieras, bienes y servicios recibidos por el afectado.

    ◦ Datos sensibles : no se tratan datos sensibles.

  • Plazo previsto para su supresión: se conservan durante la vigencia de la relación contractual y, después, hasta que prescriben las eventuales responsabilidades derivadas de ella.

  • Categorías de personas afectadas: Clientes y usuarios, proveedores, personas de contacto, representantes legales.

  • Destinatarios de cesiones:

    ◦ Administración Tributaria, para el cumplimiento de obligaciones legales.

    ◦ Entidades financieras, para la gestión de cobros y pagos de servicios.

  • Transferencias de datos fuera de la UE: no existen transferencias internacionales de datos fuera de la UE. 

3. Tratamiento de “Personal”

  • Finalidad del tratamiento de los datos: gestión de nóminas y recursos humanos.

  • Base legitimadora del tratamiento: Existencia de relación contractual (art. 6.1.B) RGPD).

  • Medidas de seguridad técnicas y organizativas: Medidas recogidas en la política de seguridad de DE LUCAS RESTAURACIÓN, S.L. (riesgo escaso).

  • Categorías de datos personales afectados:

    ◦ Datos identificativos: NIF, número de la Seguridad Social o Mutualidad, nombre y apellidos, estado civil, dirección, teléfono, firma, imagen.

    ◦ Datos de características personales: fecha y lugar de nacimiento, edad, sexo, nacionalidad, datos de circunstancias familiares.

    ◦ Datos académicos y profesionales: formación, experiencia profesional.

    ◦ Datos económicos y financieros: nómina, datos bancarios.

    ◦ Detalles del empleo: profesión, puesto de trabajo, historial del trabajador, datos no económicos de nómina.

    ◦ Datos sensibles :

      ▪ Datos relativos a la salud, para el cumplimiento de obligaciones legales.

  • Plazo previsto para su supresión: se conservan durante la vigencia de la relación contractual y, después, hasta que prescriben las eventuales responsabilidades derivadas de ella.

  • Categorías de personas afectadas: Empleados.

  • Destinatarios de cesiones:

    ◦ Organismos de la Seguridad Social, para el cumplimiento de obligaciones legales.

    ◦ Administración Tributaria, para el cumplimiento de obligaciones legales.

    ◦ Entidades financieras, para la gestión de los pagos.

  • Transferencias de datos fuera de la UE: no existen transferencias internacionales de datos fuera de la UE. 

4. Tratamiento de “Selección de Personal”

  • Finalidad del tratamiento de los datos: selección de empleados y gestión de currículos vitae.

  • Base legitimadora del tratamiento: Consentimiento del interesado/Relación precontractual.

  • Medidas de seguridad técnicas y organizativas: Medidas recogidas en la política de seguridad de DE LUCAS RESTAURACIÓN, S.L. (riesgo escaso). 

  • Categorías de datos personales afectados:

    ◦ Datos identificativos: DNI, nombre y apellidos, dirección, teléfono, imagen.

    ◦ Datos de características personales: fecha y lugar de nacimiento, edad y nacionalidad.

    ◦ Datos académicos y profesionales: formación, experiencia profesional.

    ◦ Datos de circunstancias sociales: aficiones y estilo de vida.

    ◦ Datos sensibles : no se tratan datos sensibles.

  • Plazo previsto para su supresión: se conservan durante los procesos de selección de personal y, previo consentimiento o entrega espontánea del CV, durante un plazo máximo de un año, salvo contratación del empleado, en cuyo caso se conservan durante la vigencia de la relación contractual y, después, hasta que prescriben las eventuales responsabilidades derivadas de ella.

  • Categorías de personas afectadas: Solicitantes de empleo.

  • Destinatarios de cesiones: no se efectúan cesiones de los datos a terceros.

  • Transferencias de datos fuera de la UE: no existen transferencias internacionales de datos fuera de la UE. 

5. Tratamiento de “Videovigilancia”

  • Finalidad del tratamiento de los datos: videovigilancia y control de accesos a las instalaciones.

  • Base legitimadora del tratamiento: interés público recogido en el art. 6.1.e) del RGPD.

  • Medidas de seguridad técnicas y organizativas: Medidas recogidas en la política de seguridad de DE LUCAS RESTAURACIÓN, S.L. (riesgo escaso). 

  • Categorías de datos personales afectados: imágenes.

  • Datos sensibles: no se tratan datos sensibles.

  • Plazo previsto para su supresión: 30 días, salvo que se haya grabado alguna infracción legal, en cuyo caso permanecerán bloqueadas a disposición de la autoridad competente durante el tiempo que resulte necesario para el desarrollo del procedimiento legal.

  • Categorías de personas afectadas: personas que acceden a las instalaciones.

  • Destinatarios de cesiones: Fuerzas y Cuerpos de Seguridad del Estado, para la persecución de las infracciones legales que hayan sido grabadas.

  • Transferencias de datos fuera de la UE: no existen transferencias internacionales de datos fuera de la UE. 

6. Tratamiento de “Página Web y Redes Sociales”

  • Finalidad del tratamiento de los datos:

    ◦ La resolución de consultas.

  • Base legitimadora del tratamiento: Consentimiento del interesado.

  • Medidas de seguridad técnicas y organizativas: Medidas recogidas en la política de seguridad de DE LUCAS RESTAURACIÓN, S.L. (riesgo escaso).

  • Categorías de datos personales afectados:

    ◦ Datos identificativos: nombre y apellidos, dirección, e-mail, teléfono.

    ◦ Datos de información comercial: Actividades y negocios.

    ◦ Otros datos solicitados en los formularios on-line.

    ◦ Datos sensibles : no se tratan datos sensibles.

  • Plazo previsto para su supresión:

    ◦ Los datos para el envío de comunicaciones comerciales de nuestros productos o servicios se conservan indefinidamente.

    ◦ Los datos facilitados para la resolución de consultas o elaboración de presupuestos serán conservados durante 2 años.

  • Categorías de personas afectadas: Usuarios de la página Web y las redes sociales

  • Destinatarios de cesiones: no se realizan cesiones de datos.

Transferencias de datos fuera de la UE: no existen transferencias internacionales de datos fuera de la UE.

Análisis de riesgos de DE LUCAS RESTAURACIÓN, S.L. en materia de tratamientos de datos personales

  1. Introducción

Para decidir las medidas técnicas y organizativas que deben adoptarse para cumplir la normativa de protección de datos y poder demostrarlo, es necesario un previo análisis de los riesgos que concurren. 

Este documento contiene el Análisis de Riesgos llevado a cabo para DE LUCAS RESTAURACIÓN, S.L. (CIF B19293331). Las conclusiones alcanzadas y las medidas recomendadas, conforme a la información facilitada por D. Francisco de Lucas García. Si dicha información no se ajustase a la realidad, este documento podría basarse en hechos no ciertos u omitir otros existentes, lo que ha de tenerse en cuenta para cumplir la normativa.

  2. Metodología

Se han tenido en cuenta la metodología y los criterios establecidos en la Guía de Análisis de Riesgos de la Agencia Española de Protección de Datos (AEPD). 

Se han definido las actividades de tratamiento de datos llevadas a cabo. Dicha información se encuentra reflejada en el Registro de Actividades de Tratamiento de Datos.

Se ha evaluado si las actividades de tratamiento y la tipología de datos son o no subsumibles en los supuestos de la herramienta EVALUA, de la AEPD, para determinar el nivel de riesgo. También se ha examinado la concurrencia de los factores de riesgo del art. 28.2 LOPDGDD.

  3. Análisis y conclusiones

No concurre ninguna de las circunstancias que, conforme a la herramienta EVALUA y el art. 28.2 LOPDGDD, conllevarían un incremento de riesgo, por lo que, en el tratamiento de datos personales realizado por DE LUCAS RESTAURACIÓN, S.L., concurre un RIESGO ESCASO.

  4. Medidas técnicas y organizativas a adoptar

Se recomienda que se adopten las siguientes medidas técnicas y organizativas:

  a) Redacción de una Política de Protección de Datos Personales, en la que consten por escrito las obligaciones de la entidad en la materia. La Política de Protección de Datos Personales ha sido elaborada por Picón & Asociados Abogados y se incluye en la documentación que acompaña a este Análisis de Riesgos.

  b) Redacción de una Política de Seguridad, que describa las medidas de seguridad adoptadas por la entidad e incluya un procedimiento de notificación de brechas de seguridad. En todo caso, se deben implantar dichas medidas. La Política de Seguridad ha sido elaborada por Picón & Asociados Abogados y se incluye en la documentación que acompaña a este Análisis de Riesgos.

  c) Se debe informar a los usuarios con acceso a datos personales de sus obligaciones en esta materia, distribuyendo entre ellos la antedicha documentación, siendo recomendable, además, impartir sesiones formativas. Si el cliente lo desea, puede contratar dichas sesiones formativas a Picón & Asociados Abogados.

  d) Se recomienda revisar y actualizar los procedimientos y las medidas adoptadas, al menos, una vez al año, debiendo verificar su cumplimiento y valorar su idoneidad o la necesidad de que sean sustituidas o completadas. También se recomienda revisar este Análisis de Riesgos ante cualquier circunstancia que pueda originar nuevos riesgos. Las actualizaciones o cambios que se efectúen deben ser comunicados a los usuarios.

Este Análisis de Riesgos debe ser tenido en cuenta por DE LUCAS RESTAURACIÓN, S.L. para que se adopten las medidas correctoras propuestas.

En Madrid, a 19 de mayo de 2023.

Índice de versiones:

Plantilla: v1.10.20220426

Folio PYME:V1.10.20220426

Folio Firmas: v.8.00.20230419

Política de Protección de Datos de DE LUCAS RESTAURACIÓN, S.L.

Este documento debe ser entregado a todas las personas que tratan datos personales. Las sucesivas versiones deben ser notificadas a dichas personas a través de correo electrónico con acuse de recibo.

Los usuarios deben verificar periódicamente que disponen de la versión más actualizada del documento, según la numeración que consta al pie del mismo.

Política de Protección de Datos de DE LUCAS RESTAURACIÓN, S.L.

  1. Introducción

Este documento contiene las reglas que se deben cumplir en DE LUCAS RESTAURACIÓN, S.L. cuando se traten datos personales.

Dato personal es cualquier información sobre una persona física, identificada o identificable (nombre, apellidos, dirección, edad, profesión, sexo, imagen, voz, etc.). Se excluyen los datos de personas jurídicas (sociedades, instituciones, etc.) y los de personas fallecidas.

DE LUCAS RESTAURACIÓN, S.L. trata estos datos para sus actividades (datos de clientes, de empleados, etc.), por lo que es legalmente responsable de su tratamiento.

2. Alcance

Todas las personas con acceso a datos personales (“usuarios”) deben cumplir este documento. En otro caso, incurrirán en responsabilidad legal o disciplinaria. 

En el Registro de Actividades de Tratamiento de Datos Personales se incluyen las actividades de tratamiento de datos personales permitidas en DE LUCAS RESTAURACIÓN, S.L. Los usuarios no pueden realizar tratamientos de datos personales diferentes. El Registro de Actividades de Tratamiento de Datos Personales debe actualizarse, si se produjesen cambios.

3. Reglas generales para el tratamiento de datos personales

En el tratamiento de datos personales, deben tenerse en cuenta siempre las siguientes reglas:

  • El tratamiento debe ser lícito, leal y trasparente, limitado a la finalidad para la que se recabaron los datos, tratar los datos sólo cuando sea necesario para ese fin y sólo los datos absolutamente imprescindibles, mantener los datos exactos y actualizados, conservarlos sólo durante el tiempo necesario para cumplir los fines y suprimirlos después, así como garantizar su seguridad, integridad y confidencialidad.

  • Se debe guardar secreto, indefinidamente, sobre todos los datos que se conozcan.

  • Sólo podrán tratarse datos personales si se tiene el consentimiento del interesado, si es necesario para ejecutar un contrato o una obligación legal o, en algunos casos, cuando concurre un interés legítimo importante que lo justifique (por ejemplo, el envío de publicidad a quienes ya sean clientes y no se hayan opuesto a ello). 

  • Queda prohibido tratar datos de origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, de vida u orientación sexual, datos biométricos o de salud, excepto para cumplir obligaciones y derechos laborales y de seguridad social, de medicina preventiva o laboral o evaluación de la capacidad laboral del trabajador, conforme a la legislación aplicable. Tampoco pueden tratarse datos penales o de infracciones y sanciones administrativas. 

  • Se deben aplicar medidas técnicas y organizativas para garantizar y poder demostrar el cumplimiento de las obligaciones en materia de protección de datos y reducir los riesgos de incumplimiento (Principio de Responsabilidad Proactiva). 

Todos los usuarios deben cumplir dichas reglas. DE LUCAS RESTAURACIÓN, S.L. es responsable de ello.

4. Derechos de los interesados

Los titulares de los datos pueden solicitar a DE LUCAS RESTAURACIÓN, S.L. el acceso a ellos, su rectificación, su supresión, oponerse a determinados usos, la limitación de su tratamiento y su portabilidad. DE LUCAS RESTAURACIÓN, S.L. debe facilitar gratuitamente el ejercicio de dichos derechos. La respuesta al interesado debe ser concisa, transparente, inteligible, con un lenguaje claro y sencillo. Debe conservarse la prueba de dicha respuesta.

Si un usuario recibe una solicitud de ejercicio de derechos, la trasladará inmediatamente al Responsable de Seguridad de la Entidad, quien será el encargado de gestionar la respuesta. Si la solicitud se ha recibido por medios electrónicos, la respuesta se facilitará por estos mismos medios, salvo que el interesado solicite que sea de otro modo.

Las solicitudes deben responderse en el plazo máximo de un mes. La respuesta debe tener el siguiente contenido, según los casos:

  a) Derecho de acceso: Se facilitará copia de los datos, indicando la finalidad para la que son tratados, la identidad de los destinatarios, los plazos de conservación, el derecho a solicitar su rectificación o supresión, la limitación o la oposición a su tratamiento y el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es). Si los datos no han sido obtenidos del interesado, se informará de su origen. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf.

  b) Derecho de rectificación: Se modificarán los datos inexactos o incompletos. El interesado debe aportar, si es preciso, documentación justificativa. Si los datos han sido comunicados a terceros, se notificará a estos la rectificación y se informará al interesado de dichos terceros, si lo solicita. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf.

  c) Derecho de supresión: Se eliminarán los datos de los interesados cuando manifiesten su negativa al tratamiento y no exista una base legal que lo impida, no sean necesarios para los fines para los que fueron recogidos, se retire el consentimiento y no haya otra base legal que legitime el tratamiento o éste sea ilícito. Si la supresión deriva del ejercicio del derecho de oposición al tratamiento con fines de marketing directo, pueden conservarse los datos identificativos para impedir futuros tratamientos. Si los datos han sido comunicados a terceros, debe notificarse a estos la supresión y se informará al interesado de dichos terceros, si lo solicita. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf.

  d) Derecho de oposición: Se dejarán de tratar los datos, siempre que no exista una obligación legal que lo impida. Cuando el tratamiento se base en el interés legítimo, se dejarán de tratar los datos, salvo que se acrediten motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado o sean necesarios para la formulación, ejercicio o defensa de reclamaciones. Si el interesado se opone al tratamiento con fines de marketing, los datos dejarán de ser tratados para este fin. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf.

  e) Derecho de portabilidad: Si el tratamiento se efectúa por medios automatizados y se basa en el consentimiento o se realiza en el marco de un contrato, los interesados pueden solicitar recibir copia de sus datos en un formato estructurado, de uso común y lectura mecánica. Asimismo, pueden solicitar que sean transmitidos directamente a un nuevo responsable, cuando sea técnicamente posible. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf.

  f) Derecho a la limitación del tratamiento: Los interesados pueden solicitar la suspensión del tratamiento de sus datos para impugnar su exactitud, mientras se realizan las verificaciones necesarias o, en el caso de que el tratamiento se realice en base al interés legítimo, mientras se verifica si estos motivos prevalecen sobre los intereses, derechos y libertades del interesado. También puede solicitar la conservación de los datos si considera que el tratamiento es ilícito y, en lugar de la supresión, solicita la limitación del tratamiento, o si, aun no necesitándolos ya el responsable, el interesado los necesita para la formulación, ejercicio o defensa de reclamaciones. La circunstancia de que el tratamiento de los datos del interesado esté limitado debe quedar claramente reflejada en los sistemas de la Entidad. Si los datos han sido comunicados a terceros, debe notificárseles la limitación del tratamiento y se informará al interesado de dichos terceros, si lo solicita. En este link puede encontrarse un modelo de formulario para el ejercicio del derecho: https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf.

Si no se da curso a la solicitud del interesado, se le informará de las razones de ello y de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) y de ejercitar acciones judiciales. Debe responderse al interesado aun si no existiesen sus datos en el sistema de la Entidad.

5. Modelos o documentos de uso obligatorio

DE LUCAS RESTAURACIÓN, S.L. debe firmar una serie de documentos, cláusulas y contratos para cumplir el RGPD. Dichos modelos de contratos se relacionan y se incluyen en el Libro de Cláusulas y Contratos. 

6. Página Web

El servidor que aloja la página Web https://losolivosdecastilla.es debe tener instalado un Certificado SSL (Secure Sockets Layer), para que la comunicación de datos personales sea segura.

La página web debe de tener publicadas las siguientes cláusulas legales:

    6.1 Banner de Cookies

Al acceder a la web, debe aparecer un banner con el cuadro “Obtención del consentimiento para el uso de cookies” (Ver el Libro de Cláusulas y Contratos).

Las casillas destinadas a la elección de qué cookies se aceptan o no deberán aparecer desmarcadas. Hasta que el usuario no haya manifestado su voluntad aceptando las cookies, no podrán instalarse. Se debe disponer de acceso a la web y a sus funciones pese a haber rechazado las cookies, salvo las estrictamente necesarias. Deben guardarse, de forma segura, evidencias informáticas de todos los consentimientos otorgados al uso de cookies.

Se recomienda que la validez del consentimiento prestado para el uso de una cookie no tenga una duración superior a 24 meses y que, durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

    6.2 Pie de la Web

En el pie de la página web, visibles y accesibles de forma permanente (sin que resulten tapados por el banner de las cookies), deben incluirse los siguientes hiperenlaces con las siguientes cláusulas legales:

  • “Política de Privacidad”

  • “Aviso Legal”

  • “Política de Cookies”

Los mencionados textos se incluyen en el Libro de Cláusulas y Contratos.

La cláusula tiene una casilla de verificación de “Acepto la información básica de protección de datos” que deberá aparecer desmarcada. El usuario deberá marcarla obligatoriamente antes de pulsar el botón de enviar el formulario.

Además, el formulario tiene una casilla de verificación de “Acepto recibir comunicaciones comerciales”. Esta cláusula deberá aparecer desmarcada en origen, y el usuario será libre de marcarla o no, según sus preferencias, que DE LUCAS RESTAURACIÓN, S.L. deberá respetar. 

7. Videovigilancia

DE LUCAS RESTAURACIÓN, S.L. dispone de un sistema de videovigilancia. Ello conlleva que se tomen las siguientes cautelas en lo relativo al tratamiento de datos personales:

  • Sólo pueden utilizarse cámaras si la vigilancia no puede llevarse a cabo por otros medios menos intrusivos y que no exijan esfuerzos desproporcionados.

  • Deben ser orientadas de modo que no capten imágenes de la vía pública u otras áreas no privadas, salvo una franja mínima de los accesos al inmueble.

  • No pueden captar imágenes de lugares destinados al descanso o esparcimiento de trabajadores.

  • La grabación de sonidos en el lugar de trabajo no está permitida.

  • Las imágenes deben ser suprimidas en un mes, salvo para acreditar actos dañosos o delictivos, en cuyo caso se entregarán a las Fuerzas y Cuerpos de Seguridad antes de 72 horas desde que se conociese la grabación.

Política de Seguridad de DE LUCAS RESTAURACIÓN, S.L.

Esta Parte General de la Política de Seguridad debe ser entregada a todas las personas que tratan datos personales en la oficina de DE LUCAS RESTAURACIÓN, S.L., así como al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de DE LUCAS RESTAURACIÓN, S.L. o mediante conexión remota.

Los usuarios deben verificar periódicamente que disponen de la versión más actualizada de este documento, según la numeración que consta al pie del mismo.

Política de Seguridad de DE LUCAS RESTAURACIÓN, S.L.

  1. Introducción, finalidad y alcance

Esta Política de Seguridad tiene como finalidad proteger los datos personales que se tratan en la oficina de DE LUCAS RESTAURACIÓN, S.L. frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de garantizar la seguridad en cada una de sus dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, y trazabilidad).

Este documento, junto a los que lo complementan o desarrollan, contiene los principios, medidas y procedimientos de seguridad, técnicos y organizativos, que deben ser adoptados en la oficina de DE LUCAS RESTAURACIÓN, S.L.

Las medidas y procedimientos de seguridad deben cumplirse obligatoriamente por todas las personas que traten datos personales en virtud de su relación con DE LUCAS RESTAURACIÓN, S.L., ya sea una relación laboral, mercantil, de prácticas o cualquier otra análoga.

Su aplicación también alcanza al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de DE LUCAS RESTAURACIÓN, S.L. o mediante conexión remota.

2. Tratamientos de datos a los que se aplica la Política de Seguridad

Como norma general, “dato personal” es cualquier información concerniente a personas físicas, identificadas o identificables. Por tanto, no son datos personales los datos de personas jurídicas u otras entidades análogas.

La presente Política de Seguridad se aplica a todos los tratamientos de datos personales que se realizan, ya informáticamente, ya en papel.

Las medidas de seguridad deben también cumplirse con respecto a los ficheros temporales o copias de documentos creados exclusivamente para realizar trabajos temporales. Los ficheros o documentos temporales han de ser destruidos por el usuario cuando hayan dejado de ser necesarios para los fines que motivaron su creación.

3. Identificación de perfiles de seguridad

Los perfiles de seguridad son los diferentes roles de usuario que intervienen en el sistema de información y que afectan a la seguridad. Varios perfiles de seguridad pueden coincidir en una sola persona.

    3.1 Responsable del Tratamiento

Es la persona o entidad que determina los fines y los medios del tratamiento de los datos: DE LUCAS RESTAURACIÓN, S.L., con CIF B19293331 y domicilio en Avda. Alcalá, 18, 19200-Azuqueca de Henares (Madrid).

    3.2 Responsable de Seguridad

Es la persona física a la que el Responsable del Tratamiento le ha encomendado la función de coordinar y controlar la aplicación y efectividad de las medidas definidas en esta Política de Seguridad. El Responsable de Seguridad es Francisco de Lucas García.

    3.3 Administradores del sistema

Los administradores del sistema son las personas encargadas de gestionar y mantener los sistemas informáticos, en el ámbito del hardware y del software – equipos, dispositivos, programas informáticos y aplicaciones móviles -. El administrador del sistema es Francisco de Lucas García. 

    3.4 Encargado de las copias de seguridad

El encargado de realizar o supervisar periódicamente las copias de seguridad es Francisco de Lucas García.

    3.5 Usuarios

Los Usuarios son las personas que tienen acceso autorizado a los datos personales, bien en soporte informático, bien en soporte papel, directamente o de forma indirecta. El usuario del sistema es D. Francisco de Lucas García.

4. Acceso a los datos personales

    4.1 Accesos autorizados

Sólo está permitido a los usuarios acceder a datos personales o tratarlos si es necesario para el desempeño de sus funciones y sólo en la medida en que sea imprescindible para ello. 

Si un usuario, para el desempeño de sus funciones, necesita acceder a datos, correos electrónicos o documentos a los que no tenga acceso permitido, solicitará una autorización previa a Francisco de Lucas García.

    4.2 Confidencialidad

No se comunicarán datos personales a terceros, prestando especial atención en no divulgarlos durante las conversaciones telefónicas, en correos electrónicos, etc.

Se debe impedir el acceso de personas no autorizadas a los datos personales. Se evitará dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), incluyendo las pantallas que se utilicen para la visualización de imágenes captadas por las cámaras de vigilancia. 

La introducción de la contraseña y su representación en pantalla, en el momento de la autenticación, se efectuarán en un formato no legible (por ejemplo, oculta mediante asteriscos). 

Los deberes de confidencialidad y secreto subsisten indefinidamente, aún después de terminada la relación con DE LUCAS RESTAURACIÓN, S.L.

    4.3 Contraseñas

El mecanismo de identificación y autenticación utilizado en el tratamiento informático de los datos personales es el de usuario y contraseña.

La generación de contraseñas se puede realizar de las siguientes maneras:

  a) Generándolas el propio usuario.

  b) Generándolas el responsable de seguridad o el administrador del sistema, quienes las comunican verbalmente y de modo confidencial a cada usuario.

Las contraseñas tendrán, al menos, 10 caracteres, incluyendo números, letras (mayúsculas y minúsculas) y símbolos. 

El sistema debe bloquearse cada vez que alguien intente reiteradamente el acceso no autorizado al sistema de información. Se considera que existe un intento reiterado de acceso no autorizado cuando alguien introduzca 3 o más veces un nombre de usuario o contraseña erróneos o falsos.

Las contraseñas deben ser renovadas, al menos, una vez al año (salvo que el sistema informático lo exija con mayor frecuencia) y, además, cuando se sospeche que su confidencialidad ha sido comprometida.

Cada identificador y contraseña es confidencial, personal e intransferible y no puede ser revelado a terceros, ni siquiera a compañeros de trabajo. Dos usuarios no podrán compartir sus contraseñas para acceder de manera conjunta a los datos personales. Si la confidencialidad de una contraseña se viera comprometida, se comunicará inmediatamente a Francisco de Lucas García. 

Se habilitarán perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a datos.

No está permitido apuntar los identificadores y contraseñas.

Cuando un usuario se ausente del puesto de trabajo, bloqueará la pantalla o cerrará la sesión. Si el sistema no lo hace de forma automática, lo hará el usuario manualmente, pulsando a la vez las teclas CTRL / ALT / SUPR.

No está permitido utilizar los ordenadores del trabajo para fines personales. En caso de que, excepcionalmente, sea necesario, se deberá solicitar previa autorización a D. Francisco de Lucas García y habilitar perfiles de usuario distintos para cada una de las finalidades.

    4.4 Accesos en remoto

Si se crean accesos a los datos a través de redes de comunicaciones electrónicas o en remoto, se deberán cumplir las mismas medidas de seguridad que en los accesos locales.

5. Soportes informáticos y documentos

Sólo está permitido a los usuarios grabar datos personales en soportes informáticos portátiles o tratarlos en papel si ello es necesario para el desempeño de sus funciones.

    5.1 Almacenamiento 

Mientras no se esté trabajando con los documentos o soportes informáticos con datos personales, se deben guardar en estancias, cajones u otros dispositivos con llave propia o sistema equivalente, de modo que sólo las personas autorizadas puedan acceder a ellos. 

    5.2 Soportes o documentos en tramitación o revisión

Durante el tiempo en que, por estar en revisión o tramitación, los documentos o soportes con datos personales no se encuentren almacenados o archivados, la persona a su cargo los mantendrá en su poder y bajo su vigilancia, impidiendo a terceros acceder a ellos. 

    5.3 Desechado 

Cuando se desechen documentos o soportes con datos personales, deben ser previamente destruidos o borrados, debiendo resultar imposible acceder a la información o reconstruirla.

Queda prohibido depositar soportes o documentos no destruidos o borrados en la vía pública o lugares accesibles a personas no autorizadas. No deben arrojarse papeles enteros o en trozos en lugares públicos o papeleras públicas. 

    5.4 Impresión de documentos

Cuando un usuario necesite imprimir documentos con datos personales, supervisará el proceso, con el fin de impedir que personas no autorizadas puedan ver los datos mientras se realiza la impresión y retirará los documentos de la impresora, guardándolos en un lugar seguro.

    5.5 Opción de cifrado de los datos 

Se valorará la posibilidad de cifrar los datos antes de que salgan de las instalaciones de la entidad en soporte informático o sean enviados por medios telemáticos. En caso de duda, se consultará a Francisco de Lucas García.

6. Comunicación de violaciones de la seguridad

Una violación de la seguridad es todo quebrantamiento de la seguridad que ocasione o pueda ocasionar la destrucción, pérdida o alteración de datos personales o la comunicación o acceso no autorizado a ellos. Por ejemplo, una incidencia informática (virus, hacker, etc.) que pusiese en peligro la confidencialidad, integridad o disponibilidad de los datos personales. 

Cuando un usuario detecte una posible violación de la seguridad de los datos personales (potencial o consumada), debe comunicarlo de modo inmediato a Francisco de Lucas García. 

Cuando DE LUCAS RESTAURACIÓN, S.L. detecte una posible violación de seguridad de los datos personales (potencial o consumada) deberá proceder del siguiente modo:

Si la violación de la seguridad NO ha afectado ni puede afectar a datos personales, cumplimentará el documento que se incluye en el ANEXO I y lo archivará, dando por cerrado el incidente a efectos de protección de datos.

Si la violación de la seguridad SÍ ha afectado o puede afectar a datos personales, debe valorar si constituye o no un riesgo para los derechos y las libertades de las personas físicas:

  • Si se concluyese que la violación de la seguridad NO constituye un riesgo para los derechos y las libertades de las personas físicas, DE LUCAS RESTAURACIÓN, S.L. se limitará a cumplimentar y firmar el documento que se incluye en el ANEXO I y lo archivará.

  • Si se concluyese que la violación de la seguridad de los datos personales SÍ constituye un riesgo para los derechos y las libertades de las personas físicas:

    ◦ DE LUCAS RESTAURACIÓN, S.L. debe comunicarlo a la Agencia Española de Protección de Datos a través del link que se incluye a continuación: https://sedeagpd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/procedimientoBrechaSeguridad.jsf. La comunicación debe hacerse, a más tardar, antes de 72 horas desde que se conozca la violación de la seguridad.

    ◦ Decidirá qué medidas han de adoptarse o proponerse para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

    ◦ Excepcionalmente, la violación de la seguridad se debe comunicar también a los interesados, sin dilación indebida, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.

    ◦ Cumplimentará y firmará el documento que se incluye en el ANEXO II, archivándolo.

7. Nuevas actividades de tratamiento 

Los usuarios deben consultar previamente a D. Francisco de Lucas García cuando, en el desempeño de sus funciones, necesiten realizar las siguientes actividades:

  • Tratar datos personales distintos a los que se indican en el Registro de Actividades del Tratamiento.

  • Tratar datos personales para finalidades diferentes a las que se indican en el Registro de Actividades del Tratamiento.

  • Tratar datos personales en el disco duro del propio ordenador personal del usuario, en otro dispositivo electrónico ajeno a DE LUCAS RESTAURACIÓN, S.L. o mediante computación en nube.

  • Instalar una nueva aplicación informática que utilice datos personales.

El personal de informática, incluidas las compañías subcontratadas de servicios informáticos, deben informar a D. Francisco de Lucas García de los cambios que realicen en el sistema informático. 

8. Uso del e-mail

Siempre ha de verificarse la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal. 

Cuando se envíe simultáneamente un e-mail a varios destinatarios, para evitar que las direcciones de correo electrónico sean visibles para los demás, se incluirán siempre en el campo “CCO” (copia carbón oculta) y nunca en el campo “Para”, ni en el campo “CC” (con copia). 

9. Copias de Seguridad

Periódicamente (preferiblemente a diario) D. Francisco de Lucas García realizará una copia de seguridad de todos los datos personales en un segundo soporte distinto del que se utiliza para el trabajo diario. 

Las copias de seguridad se deben guardar en un lugar diferente de aquél en que se encuentran los equipos informáticos con los ficheros originales.

Periódicamente, D. Francisco de Lucas García verificará el correcto funcionamiento de las copias.

10. Otras salvaguardas

Los dispositivos y ordenadores personales deberán mantenerse actualizados.

Se instalará un sistema antivirus que impida, en la medida de lo posible, el robo y destrucción de la información. El antivirus se actualizará periódicamente y, si es posible, a diario.

Para evitar accesos remotos indebidos a los datos, se instalará un cortafuegos, que permanecerá activado. 

El servidor en el que se aloja la página web debe tener instalado un certificado SSL (Secure Sockets Layer). Ello asegura la comunicación de datos personales a través de la web.

11. Revisión de las medidas de seguridad

D. Francisco de Lucas García revisará y, en su caso, modificará las medidas de seguridad de este documento cada vez que sea necesario, por haberse producido cambios en la legislación, haber evolucionado las actividades de la entidad, imponerlo el resultado de las revisiones o haberse encontrado defectos en la aplicación de procedimientos y medidas existentes.

Además, D. Francisco de Lucas García debe revisar y, en su caso, modificar las medidas de seguridad que figuran en esta Política, al menos, una vez al año y cada vez que se produzcan cambios relevantes en el sistema de información o los recursos protegidos.

Las revisiones tienen el objeto de comprobar el cumplimiento de las medidas y procedimientos de seguridad establecidos. Los resultados de la revisión se reflejarán en un Informe escrito, para que DE LUCAS RESTAURACIÓN, S.L. proceda a la adopción de las medidas correctoras adecuadas. 

12. Entrega de la documentación a los usuarios

D. Francisco de Lucas García entregará a todos los usuarios la Política de Protección de Datos y la Política de Seguridad. Cada usuario firmará un recibí.

Cuando se elaboren nuevas versiones o actualizaciones, D. Francisco de Lucas García notificará su existencia a los usuarios por e-mail o por otros medios.

CIERRE DE INCIDENTE DE SEGURIDAD POR NO HABER AFECTADO A DATOS PERSONALES

Fecha: _____________________

Hora: ___________________

Persona que notificó el incidente: _______________________________________________.

Fecha y hora en que se notificó el incidente: _______________________________________.

Descripción de las causas de cierre del incidente:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

Comprobaciones realizadas que han llevado a decidir el cierre del incidente:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

ANEXO I

Firma del Responsable de Seguridad:



ANEXO II

REGISTRO DE VIOLACIÓN DE LA SEGURIDAD DE DATOS PERSONALES

Fecha: _____________________

Hora: ___________________

Descripción de la violación de seguridad: 

_____________________________________________________________________________

Categorías de datos personales afectados:

 ____________________________________________________________________________

Categorías y número aproximado de interesados afectados:

 ____________________________________________________________________________

Categorías y número aproximado de registros afectados:

 ____________________________________________________________________________

Posibles consecuencias derivadas de la violación de la seguridad: ______________________

____________________________________________________________________________

Medidas ya adoptadas para poner remedio a la violación de la seguridad y mitigar sus efectos: ____________________________________________________________________________

Medidas propuestas para poner remedio a la violación de la seguridad y mitigar sus efectos: ____________________________________________________________________________

¿Procede comunicar el hecho a la AEPD? SI NO . Indicar motivos: ____________________________________________________________________________ 

Fecha en que se notifica a la AEPD (en su caso): _______ (adjuntar justificante de notificación).

¿Procede comunicar el hecho a los interesados? SI NO . Indicar motivos: _____________________________________________________________________________

Fecha y modo en que se notifica a los interesados (en su caso): _________________________.

Firma del Responsable de Seguridad

Índice de versiones:

Plantilla: v1.10.20220426

Folio PYME:V1.10.20220426

Folio Firmas: v.8.00.20230419.