Protección de Datos · RGPD

1. Marco normativo aplicable

El tratamiento de datos personales realizado por GESE RISK Centro de Gestión de la Seguridad y el Riesgo Cibernético, S.L. se rige por:

• Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
• Directiva (UE) 2016/680 para tratamientos con fines de prevención, investigación y enjuiciamiento de infracciones penales (cuando aplique)

2. Principios de tratamiento

GESERISK aplica los principios establecidos en el artículo 5 del RGPD en todos sus tratamientos:

• Licitud, lealtad y transparencia: Los datos se tratan de forma lícita y transparente para el interesado.
• Limitación de la finalidad: Los datos son recogidos con fines determinados, explícitos y legítimos.
• Minimización de datos: Solo se recogen los datos adecuados, pertinentes y limitados a lo necesario.
• Exactitud: Los datos se mantienen exactos y actualizados.
• Limitación del plazo de conservación: Los datos se conservan durante el tiempo imprescindible.
• Integridad y confidencialidad: Se aplican medidas técnicas y organizativas adecuadas.
• Responsabilidad proactiva: GESERISK puede demostrar el cumplimiento de todos los principios.

3. Registro de Actividades de Tratamiento

GESERISK mantiene un Registro de Actividades de Tratamiento (RAT) conforme al artículo 30 del RGPD, que incluye:

• Nombre y datos de contacto del responsable
• Finalidades del tratamiento
• Descripción de las categorías de interesados y datos personales
• Categorías de destinatarios
• Plazos de supresión previstos
• Descripción general de las medidas de seguridad

4. Evaluación de Impacto (EIPD)

Cuando un tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas, GESERISK realiza una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con carácter previo al tratamiento, conforme al artículo 35 del RGPD.

5. Encargados de tratamiento

Cuando GESERISK recurre a terceros para el tratamiento de datos en su nombre, se formaliza un contrato de encargo de tratamiento que garantiza:

• El tratamiento conforme a las instrucciones del responsable
• La confidencialidad de los datos
• La adopción de medidas de seguridad adecuadas
• La asistencia al responsable en el cumplimiento de sus obligaciones
• La supresión o devolución de los datos al finalizar el servicio

6. Violaciones de seguridad (brechas de datos)

En caso de producirse una violación de seguridad que constituya un riesgo para los derechos y libertades de las personas físicas, GESERISK seguirá el procedimiento establecido en los artículos 33 y 34 del RGPD:

• Notificación a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas
• Comunicación a los interesados afectados cuando exista alto riesgo para sus derechos
• Documentación interna de la brecha, sus efectos y las medidas adoptadas

7. Derechos de los interesados

Los interesados pueden ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD dirigiéndose a GESE RISK Centro de Gestión de la Seguridad y el Riesgo Cibernético, S.L.:

• Por correo postal: DomoCenter Business Building, Avda. República Argentina nº 28, Planta 1, Oficinas 22-24, 41930 Bormujos, Sevilla
• Por correo electrónico:

La solicitud deberá incluir nombre, apellidos y copia del DNI u otro documento identificativo. GESERISK responderá en el plazo máximo de un mes, prorrogable hasta dos meses en casos complejos.

8. Autoridad de control

Si considera que GESERISK no ha atendido correctamente el ejercicio de sus derechos o que el tratamiento de sus datos no se ajusta al RGPD, puede presentar una reclamación ante la autoridad de control competente:

• Agencia Española de Protección de Datos (AEPD)
• C/ Jorge Juan, 6 · 28001 Madrid
• www.aepd.es