Aviso Legal - El Gran Escape

DOCUMENTO DE
PROTECCION DE DATOS
En cumplimiento del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016
EL GRAN ESCAPE, S.L.
El presente documento refleja la situación, medidas y controles a aplicar en el ámbito del
Reglamento (UE) 2016/679 por parte de EL GRAN ESCAPE, S.L. y ha sido redactado
específicamente por andhas para la misma, con la información que la empresa ha
aportado.
Versión: 2019.0
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
1
CONTROL DE VERSIONES
Versión Fecha Descripción
2017.0 11-4-17 Versión inicial LOPD
2018.0 29-5-18 Documento inicial RGPD
2018.1 11-10-18 Alta y baja de usuarios
2019.0 4-11-19
Cambio dirección de tratamiento
Alta de usuario
Alta y baja de equipos informáticos
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
2
INDICE

INTRODUCCIÓN ______________________________________________________ 4
1.1. OBJETO DEL DOCUMENTO _______________________________________________ 4
1.2. ESTRUCTURA DEL DOCUMENTO________________________________________________________ 4
1.3. ÁMBITO DE APLICACIÓN_____________________________________________________________ 5
1.4. DEFINICIONES BÁSICAS______________________________________________________________ 6
1.5. TIPOLOGÍA DATOS DE CARÁCTER PERSONAL __________________________________ 12
RESPONSABLE DEL TRATAMIENTO.______________________________________ 13
LISTA DE VERIFICACIÓN._______________________________________________ 14
RESPONSABILIDAD PROACTIVA. ________________________________________ 18
4.1. ANÁLISIS DE RIESGO __________________________________________________ 18
4.2. REGISTRO DE ACTIVIDADES__________________________________________________________ 19
4.3. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO_____________________________________ 19
4.4. MEDIDAS DE SEGURIDAD _______________________________________________ 19
4.5. NOTIFICACIÓN DE “VIOLACIONES DE SEGURIDAD DE LOS DATOS”_____________________ 26
DEBER DE INFORMAR. ________________________________________________ 27
5.1. OBLIGACIÓN _______________________________________________________ 27
5.2. COMO INFORMAR________________________________________________________________ 28
5.3. PRESENTACIÓN DE INFORMACIÓN _________________________________________ 28
5.4. MEDIDAS _________________________________________________________ 29
DERECHOS DEL INTERESADO. __________________________________________ 31
6.1. DERECHO DE ACCESO______________________________________________________________ 32
6.2. DERECHO DE RECTIFICACIÓN_________________________________________________________ 33
6.3. DERECHO DE SUPRESIÓN _______________________________________________ 34
6.4. DERECHO DE OPOSICIÓN _______________________________________________ 35
RELACION RESPONSABLE – ENCARGADO._________________________________ 36
7.1. CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE UN TERCERO ________________ 38
7.2. CONTRATO DE TRATAMIENTO DE DATOS SIN CESIÓN (CONFIDENCIALIDAD) _____________ 48
OBLIGACIONES Y FUNCIONES DEL PERSONAL._____________________________ 51
8.1. CIRCULAR SOBRE SEGURIDAD DE DATOS PERSONALES PARA TODOS LOS USUARIOS 53
8.2. COMPROMISO DE CONFIDENCIALIDAD PARA LOS EMPLEADOS _______________ 56
8.3 POLÍTICA DE USO Y CONTROL DE LAS TIC. _______________________________ 57
TRANSFERENCIAS INTERNACIONALES. ___________________________________ 59
AUTORIZACIONES. ___________________________________________________ 60
10.1.SALIDAS DE ORDENADORES, TABLETS Y MÓVILES___________________________________________ 61
10.2.SALIDAS DE OTROS SOPORTES ___________________________________________ 62
GESTIÓN DE INCIDENCIAS._____________________________________________ 63
CONTROLES _________________________________________________________ 67
RECEPCIÓN DOCUMENTO _____________________________________________ 68
ANEXOS ________________________________________________________________ 69
A. DESCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES __________________ 70
A.1. CANDIDATOS _____________________________________________________ 71
A.2. PERSONAL _______________________________________________________ 72
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
3
A.3. POTENCIALES CLIENTES _____________________________________________ 73
A.4. CLIENTES ________________________________________________________ 74
A.5. PROVEEDORES ____________________________________________________ 75
A.6. VIDEOVIGILANCIA _________________________________________________ 76
B. PROCEDIMIENTOS DE GESTION DE USUARIOS. ____________________________ 77
B.1. ALTA, MODIFICACIÓN Y BAJA DE USUARIOS_________________________________________ 77
B.2. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS _______________________ 77
B.3. MODELO DE SOLICITUD DE ALTA, MODIFICACIÓN, BAJA DE USUARIO ________ 78
C. RELACION DE USUARIOS.______________________________________________ 79
C.1. USUARIOS CON ACCESO FÍSICO Y LOGICO ______________________________ 79
C.2. USUARIOS CON ACCESO FÍSICO___________________________________________________ 79
C.3. ALTA DE USUARIOS CON RESPECTO VERSION ANTERIOR_______________________________ 79
C.4. BAJAS DE USUARIOS CON RESPECTO VERSION ANTERIOR __________________ 79
C.5. USUARIOS EXTERNOS ______________________________________________ 80
D. RELACION DE ADMINISTRADORES. ______________________________________ 81
D.1. DE SISTEMAS _____________________________________________________ 81
E. INFRAESTRUCTURA TECNOLÓGICA. _____________________________________ 82
E.1. ENTORNO DE RED _________________________________________________ 82
E.2. COMUNICACIONES ________________________________________________ 82
E.3. APLICACIONES INFORMÁTICAS _______________________________________ 82
E.4. EQUIPOS INFORMATICOS ___________________________________________ 82
E.5. PROCEDIMIENTO DE ACTUACIÓN EN LA BAJA DE EQUIPOS _________________ 83
F. INVENTARIO DE SOPORTES.____________________________________________ 84
F.1. OTROS SOPORTE __________________________________________________ 84
F.2. REGISTRO DE SOPORTES DESECHADOS ________________________________ 84
G. PROCEDIMIENTO DE COPIAS DE SEGURIDAD Y RECUPERACIÓN DE DATOS. _____ 85
H. REGISTROS DE SALIDAS._______________________________________________ 86
H.1. SALIDAS DE ORDENADORES _________________________________________ 86
H.2. SALIDAS DE SOPORTES__________________________________________________________ 86
I. REGISTRO DE DERECHOS EJERCIDOS POR EL INTERESADO. __________________ 87
J. REGISTRO DE INCIDENCIAS. ____________________________________________ 88
K. REGISTROS DE PRUEBAS. ______________________________________________ 89
L. OBLIGACIONES Y FUNCIONES DEL PERSONAL._____________________________ 90
M. CONSENTIMIENTOS __________________________________________________ 91
M.1. CESIÓN DE DATOS DE LOS EMPLEADOS. _____________________________________ 91
M.2. GESTIÓN DE CV EN PROCESOS DE SELECCIÓN._________________________________ 92
N. REGISTRO DE ENCARGADOS DE TRATAMIENTO ___________________________ 93
N.1. ENCARGADOS DE TRATAMIENTO DE DATOS POR CUENTA DE UN TERCERO ______________ 93
N.2. ENCARGADOS DE TRATAMIENTO DE DATOS SIN CESIÓN (CONFIDENCIALIDAD)____________ 93
O. CRITERIOS DE ARCHIVO DE DOCUMENTACIÓN ____________________________ 94
P. POLITICA DE COOKIES_____________________________________________________________ 95
Q. CONTROLES PERIÓDICOS ______________________________________________ 96
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
4
INTRODUCCIÓN
El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo
de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa
en toda la Unión Europea, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos. El
RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de
Datos y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de
cambios y novedades a los cuales es necesario adaptar los actuales tratamientos.
EL GRAN ESCAPE, S.L se ha basado para determinar el alcance del presente documento
en la Lista de Verificación (apartado 3).
En el presente Documento se recogen todas las medidas de carácter técnico y
organizativo, así como algunas medidas o cautelas de carácter jurídico que puedan
afectar al tratamiento de datos de carácter personal, adoptadas por la organización.
1.1. Objeto del documento
El objeto del presente documento es garantizar la protección de la información relativa
a personas físicas frente a manipulaciones indebidas o accesos no autorizados,
identificando cualquier incidencia que pudiera afectar a la confidencialidad o integridad
de los mencionados datos.
El RGPD establece que las medidas de índole técnica u organizativa sean “de obligado
cumplimiento para el personal con acceso autorizado al sistema de información”.
Cuando los datos sean tratados por un encargado de tratamiento se atenderá a las
previsiones especiales contempladas en este documento.
1.2. Estructura del documento
En el presente documento se tiene en cuenta la dinámica y estructura de los procesos
de gestión junto a la específica naturaleza de los tratamientos. De ahí que, en función
del tipo de tratamiento, se distingue entre automatizados y no automatizados.
Se entiende por “No Automatizados” los tratamientos que se realizan mediante ficheros
estructurados ya sea, en soporte papel, ya en cualquier otro soporte analógico (cintas
de audio, vídeo, negativos fotográficos, microfilms, microfichas, etc.).
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
5
Se distingue igualmente entre medidas de seguridad que tienden a perdurar en el
tiempo (reglas básicas de uso, descripción de equipos etc.) y aquellas que requieren una
gestión ordinaria continuada (controles periódicos, copias de seguridad, entradas y
salidas de soportes y/o datos, etc.).
1.3. Ámbito de aplicación
En el presente documento se tiene en cuenta la dinámica y estructura de los procesos
de gestión junto a la específica naturaleza de los tratamientos. De ahí que, en función
del tipo de tratamiento, se distingue entre automatizados y no automatizados.
1.3.1. Ámbito de aplicación
El presente documento será de aplicación a los tratamientos de datos que contienen
datos de carácter personal que se hallan bajo la responsabilidad de EL GRAN ESCAPE,
incluyendo los sistemas de información, soportes y equipos empleados para el
tratamiento, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente,
las personas que intervienen en el tratamiento y los locales en los que se ubican.
Todas las personas que tengan acceso a los datos y recursos de cada fichero, bien a través
del sistema informático, o bien a través de cualquier otro medio, se encuentran obligadas
por ley a cumplir lo establecido en este documento.
1.3.2. Recursos protegidos
Estarán sujetos a lo dispuesto en este documento los recursos que alberguen físicamente
los medios con los que se tratan los datos y permiten el acceso a los distintos ficheros
inscritos. Se considerarán recursos protegidos los siguientes:
a) Los entornos de red. Ver Anexo E – INFRAESTRUCTURA TECNOLÓGICA.
b) Los Centros de Proceso de Datos y las sedes desde las que se puede acceder al
sistema de información. Esto incluye los locales donde se encuentren ubicados
los soportes o dispositivos de almacenamiento.
c) Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener
acceso a los ficheros. Ver Anexo C – USUARIOS.
d) Los equipos informáticos que contengan datos de carácter personal ya sean
servidores y/o puestos individuales de trabajo. Ver Anexo E –
INFRAESTRUCTURA TECNOLÓGICA.
e) Las aplicaciones utilizadas para el tratamiento de los datos, así como el sistema
operativo utilizado. Ver Anexo E – INFRAESTRUCTURA TECNOLÓGICA.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
6
f) Los lugares físicos de almacenamiento, dispositivos de almacenamiento,
soportes y documentos que contienen ficheros no automatizados que también
se relacionan en el Anexo O – CRITERIOS DE ARCHIVO DE LA DOCUMENTACIÓN.
1.4. Definiciones básicas

Accesos autorizados: autorizaciones concedidas a un usuario para la utilización
de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que
tenga atribuidas un usuario por delegación del Responsable del Tratamiento o
del Responsable de Seguridad.
Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
Autenticación: procedimiento de comprobación de la identidad de un usuario.
Autoridad de control: la autoridad pública independiente establecida por un
Estado miembro con arreglo a lo dispuesto en el artículo 51.
Autoridad de control interesada: la autoridad de control a la que afecta el
tratamiento de datos personales debido a que:
a. el responsable o el encargado del tratamiento está establecido en el
territorio del Estado miembro de esa autoridad de control;
b. los interesados que residen en el Estado miembro de esa autoridad de
control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o
c. se ha presentado una reclamación ante esa autoridad de control.
Cesión o comunicación de datos: Tratamiento de datos que supone su revelación
a una persona distinta del interesado.
Consentimiento del interesado: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales
que le conciernen.
Contraseña: información confidencial, frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autenticación de un usuario o
en el acceso a un recurso.
Control de acceso: mecanismo que en función de la identificación ya autenticada
permite acceder a datos o recursos.
Copia de respaldo: copia de los datos de un fichero automatizado en un soporte
que posibilite su recuperación.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
7
Dato disociado: aquél que no permite la identificación de un afectado o
interesado.
Datos biométricos: datos personales obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Datos genéticos: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona.
Datos personales: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un
número de identificación, datos de localización, un identificador en línea o uno
o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona.
Datos relativos a la salud: datos personales relativos a la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria, que
revelen información sobre su estado de salud.
Destinatario: la persona física o jurídica, autoridad pública, servicio u otro
organismo al que se comuniquen datos personales, se trate o no de un tercero.
No obstante, no se considerarán destinatarios las autoridades públicas que
puedan recibir datos personales en el marco de una investigación concreta de
conformidad con el Derecho de la Unión o de los Estados miembros; el
tratamiento de tales datos por dichas autoridades públicas será conforme con las
normas en materia de protección de datos aplicables a los fines del tratamiento.
Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de
información que puede ser tratada en un sistema de información como una
unidad diferenciada.
Elaboración de perfiles: toda forma de tratamiento automatizado de datos
personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o predecir
aspectos relativos al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación o
movimientos de dicha persona física.
Empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o
asociaciones que desempeñen regularmente una actividad económica.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
8
Encargado del tratamiento o Encargado: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
Establecimiento principal:
a) en lo que se refiere a un responsable del tratamiento con
establecimientos en más de un Estado miembro, el lugar de su
administración central en la Unión, salvo que las decisiones sobre los
fines y los medios del tratamiento se tomen en otro establecimiento del
responsable en la Unión y este último establecimiento tenga el poder de
hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya
adoptado tales decisiones se considerará establecimiento principal;
b) en lo que se refiere a un encargado del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en la
Unión o, si careciera de esta, el establecimiento del encargado en la Unión
en el que se realicen las principales actividades de tratamiento en el
contexto de las actividades de un establecimiento del encargado en la
medida en que el encargado esté sujeto a obligaciones específicas con
arreglo al presente Reglamento.
Exportador de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo situado en territorio europeo que realice, conforme a lo
dispuesto en el presente Reglamento, una transferencia de datos de carácter
personal a un país tercero.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geográfica.
Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a las
mismas atribuye su normativa específica.
Ficheros de titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho público
siempre que su finalidad sea el ejercicio de potestades de derecho público.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
9
Fichero no automatizado: todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a criterios
específicos relativos a personas físicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aquél centralizado,
descentralizado o repartido de forma funcional o geográfica.
Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que
son necesarios para un tratamiento ocasional o como paso intermedio durante
la realización de un tratamiento.
Grupo empresarial: grupo constituido por una empresa que ejerce el control y
sus empresas controladas.
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
Importador de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer país, ya sea responsable del tratamiento,
encargada del tratamiento o tercero.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los
datos.
Limitación del tratamiento: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro.
Normas corporativas vinculantes: las políticas de protección de datos personales
asumidas por un responsable o encargado del tratamiento establecido en el
territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o más
países terceros, dentro de un grupo empresarial o una unión de empresas
dedicadas a una actividad económica conjunta.
Objeción pertinente y motivada: la objeción a una propuesta de decisión sobre
la existencia o no de infracción del presente Reglamento, o sobre la conformidad
con el presente Reglamento de acciones previstas en relación con el responsable
o el encargado del tratamiento, que demuestre claramente la importancia de los
riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y, en su caso, para la libre circulación de datos
personales dentro de la Unión.
Organización internacional: una organización internacional y sus entes
subordinados de Derecho internacional público o cualquier otro organismo
creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
Perfil de usuario: accesos autorizados a un grupo de usuarios.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
10
Persona identificable: toda persona cuya identidad pueda determinarse, directa
o indirectamente, mediante cualquier información referida a su identidad física,
fisiológica, psíquica, económica, cultural o social. Una persona física no se
considerará identificable si dicha identificación requiere plazos o actividades
desproporcionados.
Procedimiento de disociación: Todo tratamiento de datos personales que
permita la obtención de datos disociados.
Recurso: cualquier parte componente de un sistema de información.
Representante: persona física o jurídica establecida en la Unión que, habiendo
sido designada por escrito por el responsable o el encargado del tratamiento con
arreglo al artículo 27, represente al responsable o al encargado en lo que
respecta a sus respectivas obligaciones en virtud del presente Reglamento.
Responsable de Seguridad: persona o personas a las que el Responsable del
Fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables.
Responsable del tratamiento o Responsable: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de los
Estados miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados miembros.
Servicio de la sociedad de la información: todo servicio conforme a la definición
del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del
Parlamento Europeo y del Consejo.
Seudonimización: el tratamiento de datos personales de manera tal que ya no
puedan atribuirse a un interesado sin utilizar información adicional, siempre que
dicha información adicional figure por separado y esté sujeta a medidas técnicas
y organizativas destinadas a garantizar que los datos personales no se atribuyan
a una persona física identificada o identificable.
Sistema de información: conjunto de ficheros, tratamientos, programas,
soportes y en su caso, equipos empleados para el tratamiento de datos de
carácter personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de
información. Atendiendo al sistema de tratamiento, los sistemas de información
podrán ser automatizados, no automatizados o parcialmente automatizados.
Soporte: objeto físico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de información y sobre el cual se pueden
grabar y recuperar datos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
11
Supresión: Procedimiento en virtud del cual el responsable cesa en el uso de los
datos. La cancelación implicará el bloqueo de los datos, consistente en la
identificación y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposición de las Administraciones públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la supresión de los datos.
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto
del interesado, del responsable del tratamiento, del encargado del tratamiento y
de las personas autorizadas para tratar los datos personales bajo la autoridad
directa del responsable o del encargado.
Transferencia internacional de datos: Tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo,
bien constituya una cesión o comunicación de datos, bien tenga por objeto la
realización de un tratamiento de datos por cuenta del Responsable del Fichero
establecido en territorio español.
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación
de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Transferencia transfronterizo:
a. el tratamiento de datos personales realizado en el contexto de las
actividades de establecimientos en más de un Estado miembro de un
responsable o un encargado del tratamiento en la Unión, si el responsable
o el encargado está establecido en más de un Estado miembro, o
b. el tratamiento de datos personales realizado en el contexto de las
actividades de un único establecimiento de un responsable o un
encargado del tratamiento en la Unión, pero que afecta sustancialmente
o es probable que afecte sustancialmente a interesados en más de un
Estado miembro.
Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o
divulgación de la información contenida en el mismo.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la
consideración de usuarios los procesos que permitan acceder a datos o recursos
sin identificación de un usuario físico.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
12
Violación de la seguridad de los datos personales: toda violación de la seguridad
que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.
1.5. Tipología datos de Carácter Personal
Los datos de carácter personal se pueden clasificar en:
Datos identificativos: nombre y apellidos, dirección postal, dirección electrónica,
teléfono, DNIINIF, SS/mutualidad, imagen, voz, firma o huella digitalizada, firma
electrónica, etc.
Datos de características personales: estado civil, familia, fecha de nacimiento,
lugar de nacimiento, edad, sexo, nacionalidad, lengua materna,
características físicas o antropométricas.
Datos de circunstancias sociales: características de alojamiento, vivienda,
situación militar, propiedades y posesiones, aficiones y estilo de vida,
pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
Datos académicos y profesionales: formación y titulaciones, historial del
estudiante, experiencia profesional, pertenencia a colegios o a asociaciones
profesionales.
Datos de empleo: profesión, puestos de trabajo, datos no económicos de
nómina, historial del trabajador.
Datos de información comercial: actividades y negocios, licencias comerciales,
suscripciones a publicaciones y medios de comunicación, creaciones artísticas,
literarias, científicas o técnicas.
Datos económicos, financieros y de seguros: ingresos y rentas, inversiones y
bienes patrimoniales, créditos, préstamos y avales, datos bancarios, planes de
pensiones, jubilación, datos económicos de nómina, deducciones impositivas,
impuestos, seguros, hipotecas, subsidios y beneficios, historial de créditos,
tarjetas de crédito.
Datos de transacciones de bienes y servicios: bienes y servicios suministrados
por el afectado, bienes y servicios recibidos por el afectado, transacciones
financieras, compensaciones, indemnizaciones.
Datos especialmente protegidos: ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
13

RESPONSABLE DEL TRATAMIENTO.
RESPONSABLE DEL FICHERO
El Responsable de los Ficheros es EL GRAN ESCAPE, S.L, con Código de identificación
Fiscal (C.I.F.): B-87726196, cuya actividad principal es la Gestión y Organización de todo
tipo de actividades y eventos recreativos, educativos de entretenimiento y de ocio.
Domicilio Social
EL GRAN ESCAPE, S.L
c/ Encomienda 21, 28012 Madrid.
Domicilio Tratamiento de Datos
EL GRAN ESCAPE, S.L
c/ Del Amparo 32, 28012 Madrid.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
14
LISTA DE VERIFICACIÓN.
EL GRAN ESCAPE para aplicar esta versión simplificada del Listado de Verificación, ha
confirmado que los tratamientos que realiza son de bajo riesgo y no tienen algún rasgo
particular que elevaría ese nivel de riesgo.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
15
XX ha respondido de forma negativa a todas las cuestiones anteriores, por tanto, se
podría entender que los tratamientos realizados por XX entrañan a priori, un escaso
nivel de riesgo para los derechos y libertades de los interesados.
YY ha revisado las implicaciones de sus tratamientos de datos en los derechos y
libertades de los interesados:
▪ NO se tratan datos sensibles
▪ NO se incluyen datos de una gran cantidad de personas
▪ NO se realiza el tratamiento la elaboración de perfiles
▪ NO se cruzan los datos obtenidos de los interesados con otros disponibles en
otras fuentes
▪ NO se pretende utilizar los datos obtenidos para una finalidad para otro tipo de
finalidades.
▪ NO se están tratando grandes cantidades de datos, incluido con técnicas de
análisis masivo tipo big data
▪ NO se utilizan tecnologías invasivas para la privacidad: videovigilancia a gran
escala, las relativas a geolocalización, o aplicaciones del Internet de las cosas, etc.
En base a las negaciones anteriores es razonable concluir que la organización no realiza
tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en
marcha las medidas previstas para esos casos.
A partir de ahí, concentra su análisis en las siguientes cuestiones:
Identificación de la base jurídica de los tratamientos que se realizan
Estos tratamientos básicos normalmente se basan en la existencia de una relación
contractual entre el interesado o el responsable o en el consentimiento del interesado.
También es habitual que existan obligaciones legales para el responsable, por ejemplo
en el ámbito de la legislación laboral, que determinen el tratamiento de los datos. Puede
haber algunos casos en que sea el interés legítimo del responsable. El responsable
asegura de que todos los tratamientos que realiza pueden apoyarse en alguna de esas
bases.
Verificación de la información que se proporciona a los interesados
El RGPD obliga a ofrecer a los interesados una mayor información sobre los tratamientos
que se realizan. El Responsable cumple con esta obligación de transparencia. Por ello, el
Responsable se ha asegurado de disponer de esa información y ha previsto los medios
adecuados para ofrecérsela a los interesados.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
16
La información la proporciona por diversos medios, como son avisos en páginas webs,
espacios reservados en formularios o carteles informativos. También la ofrece en
diversos momentos, como por ejemplo cuando se recogen los datos de los empleados
o cuando se recogen los datos para contratación con los clientes.
Establecimiento de un registro de actividades de tratamiento
El responsable dispone de un registro e incluye en él los contenidos previstos por el
RGPD.
Ejercicio de derechos de los interesados
El responsable ha previsto mecanismos para facilitar el ejercicio de derechos y la
respuesta a las solicitudes. Ofrece una dirección de correo electrónico específica que es
operativa y que permite identificar a los interesados y atribuir a una persona de la
organización que se responsabilice de tramitar todas las solicitudes que eventualmente
se reciban.
Identificación de medidas de seguridad
Las medidas de seguridad tienen como finalidades principales garantizar la integridad
de la información, permitir su recuperación en caso de incidentes y evitar los accesos no
autorizados a las mismas. Por ello, el RGPD contempla medidas de seguridad que deben
adaptarse a las características de los tratamientos, al tipo de datos tratados o a la
tecnología disponible en cada momento.
Los tratamientos que implican un bajo riesgo para los derechos o libertades de los
interesados no requerirían, en principio, medidas de seguridad más complejas que las
que se establecieron para el cumplimiento de la anterior normativa (LOPD). El
responsable se asegura de que esas medidas se aplican y también valora si en el caso de
los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan
o el tipo de interesados a que se refiere, sería necesaria alguna medida de seguridad
distinta o adicional.
Verificación de las relaciones con los encargados de tratamiento
Cuando el responsable del tratamiento encomienda parte de las operaciones, como
puede ser el almacenamiento de la información o la realización de determinadas tareas
sobre la base de los datos personales, la entidad que presta esos servicios es un
encargado de tratamiento.
El Responsable debería asegurarse, ante todo, de que estos encargos estén siempre
amparados en un contrato de encargo, que tiene un contenido distinto del que regula
el servicio que se contrata, aunque puede formar parte de él.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
17
Igualmente, debe verificar que los contratos de encargo de tratamiento con prestadores
de servicios incluyen todos los aspectos que establece el RGPD, especialmente en lo
relativo a que el encargado sólo tratará los datos para los fines que le encomiende el
responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta
confidencialidad sobre la información tratada.
En algunos casos, el modelo de contrato será ofrecido por el prestador. Si es así, el
responsable debe ser consciente de que al suscribirlo convierte su contenido en las
instrucciones para el tratamiento y se responsabiliza de ellas. En otros casos, será el
responsable el que pueda preparar el modelo de contrato.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
18
RESPONSABILIDAD PROACTIVA.
El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la
necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no
autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño
accidental. Esto implica el establecimiento de medidas técnicas y organizativas
encaminadas a asegurar la integridad y confidencialidad de los datos personales y la
posibilidad (artículo 5.2) de demostrar que estas medidas se han llevado a la práctica
(responsabilidad proactiva).
Este principio requiere que el Responsable del Tratamiento analice qué datos trata, con
qué finalidades lo hace y qué tipo de operaciones de tratamiento se llevan a cabo. A
partir de este conocimiento debe determinar de forma explícita la forma en que aplicará
las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas
para cumplir con el mismo y de que puede demostrarlo ante los interesados y ante las
autoridades de supervisión.
Este principio exige una actitud consciente, diligente y proactiva por parte del
Responsable del tratamiento frente a todos los tratamientos de datos personales que
lleve a cabo.
4.1. Análisis de Riesgo
EL GRAN ESCAPE aun estando exenta por disponer de menos de 250 trabajadores, ha
revisado las implicaciones de sus tratamientos de datos en los derechos y libertades de
los interesados:
▪ NO se tratan datos sensibles
▪ NO se incluyen datos de una gran cantidad de personas
▪ NO se realiza el tratamiento la elaboración de perfiles
▪ NO se cruzan los datos obtenidos de los interesados con otros disponibles en
otras fuentes
▪ NO se pretende utilizar los datos obtenidos para una finalidad para otro tipo de
finalidades.
▪ NO se están tratando grandes cantidades de datos, incluido con técnicas de
análisis masivo tipo big data
▪ NO se utilizan tecnologías especialmente invasivas para la privacidad, como las
relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del
Internet de las cosas
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
19
En base a las negaciones anteriores es razonable concluir que la organización no realiza
tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en
marcha las medidas previstas para esos casos.
4.2. Registro de Actividades
EL GRAN ESCAPE se encuentra exenta de la obligación de llevar un registro de
actividades al disponer menos de 250 trabajadores y realizar tratamiento que no
entrañan un riesgo para los derechos y libertades de los interesados, no siendo
ocasionales ni incluyendo categorías especiales de datos o datos relativos a condenas e
infracciones penales.
4.3. Protección de Datos desde el Diseño y por Defecto
EL GRAN ESCAPE toma medidas organizativas y técnicas para integrar en los
tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.
EL GRAN ESCAPE adopta medidas que garanticen que solo se traten los datos necesarios
en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos
de conservación y la accesibilidad a los datos.
4.4. Medidas de Seguridad
EL GRAN ESCAPE, atendiendo al artículo 32 del RGPD, ha tomado medidas organizativas
y técnicas apropiadas para garantizar un nivel de seguridad adecuado en función de los
riesgos detectados. Las medidas se establecen teniendo en cuenta: el coste de la técnica,
los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento
y los riesgos para los derechos y libertades.
4.4.1. MEDIDAS ORGANIZATIVAS
Todo el personal con acceso a los datos personales deberá tener conocimiento de sus
obligaciones con relación a los tratamientos de datos personales y serán informados
acerca de dichas obligaciones. La información mínima que será conocida por todo el
personal será la siguiente:
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
20
4.4.1.1. DEBER DE CONFIDENCIALIDAD Y SECRETO
▪ Se deberá evitar el acceso de personas no autorizadas a los datos personales, a
tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas
electrónicas desatendidas, documentos en papel en zonas de acceso público,
soportes con datos personales, etc.), esta consideración incluye las pantallas que
se utilicen para la visualización de imágenes del sistema de videovigilancia.
▪ Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla
o al cierre de la sesión.
▪ Los documentos en papel y soportes electrónicos se almacenarán en lugar
seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.
▪ No se desecharán documentos o soportes electrónicos (cd, pen drives, discos
duros, etc.) con datos personales sin garantizar su destrucción.
▪ No se comunicarán datos personales o cualquier información personal a
terceros, se prestará atención especial en no divulgar datos personales
protegidos durante las consultas telefónicas, correos electrónicos, etc.
▪ El deber de secreto y confidencialidad persiste incluso cuando finalice la relación
laboral del trabajador con la empresa.
4.4.1.2. DERECHOS DE LOS TITULARES DE LOS DATOS
Ver apartado 6 del presente documento.
4.4.1.3. VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL
Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL,
como por ejemplo, el robo o acceso indebido a los datos personales se notificará a la
Agencia Española de Protección de Datos en término de 72 horas acerca de dichas
violaciones de seguridad, incluyendo toda la información necesaria para el
esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos
personales. La notificación se realizará por medios electrónicos a través de la sede
electrónica de la Agencia Española de Protección de Datos en la dirección:
https://sedeagpd.gob.es
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
21
4.4.2. MEDIDAS TÉCNICAS DE IDENTIFICACIÓN
El Responsable del Tratamiento velará por dar estricto cumplimiento a lo dispuesto en
el RGPD y futuras leyes y normativas respecto de todos los tratamientos que contengan
datos de carácter personal.
La descripción del procedimiento de solicitud, modificación o cancelación de accesos se
halla en el Anexo B – PROCEDIMIENTO GESTION DE USUARIOS.
Asimismo, establecerá lo oportuno para que dar cumplimiento a las obligaciones
relativas a la Identificación y Autenticación de usuarios.
El procedimiento de identificación y autenticación se detalla en el Anexo B.
El Anexo relativo a los Usuarios del Sistema de Información detalla el acceso autorizado
del personal propio y ajeno a los ficheros del sistema de información.
Con carácter general la autorización para conceder, alterar o anular el acceso autorizado
a los ficheros del sistema de información corresponde al Responsable del Tratamiento
(ver Anexo D – Relación de Administradores).
▪ Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos
personales y fines de uso personal se recomienda disponer de varios perfiles o
usuarios distintos para cada una de las finalidades. Deben mantenerse separados
los usos profesional y personal del ordenador.
▪ Se recomienda disponer de perfiles con derechos de administración para la
instalación y configuración del sistema y usuarios sin privilegios o derechos de
administración para el acceso a los datos personales. Esta medida evitará que en
caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o
modificar el sistema operativo.
▪ Se garantizará la existencia de contraseñas para el acceso a los datos personales
almacenados en sistemas electrónicos. La contraseña tendrá al menos 8
caracteres, mezcla de números y letras.
▪ Cuando a los datos personales accedan distintas personas, para cada persona
con acceso a los datos personales, se dispondrá de un usuario y contraseña
específicos (identificación inequívoca).
▪ Se debe garantizar la confidencialidad de las contraseñas, evitando que queden
expuestas a terceros. Para la gestión de las contraseñas puede consultar la guía
de privacidad y seguridad en internet de la Agencia Española de Protección de
Datos y el Instituto Nacional de Ciberseguridad. En ningún caso se compartirán
las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas
distintas del usuario.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
22
Copias de seguridad y recuperación de datos
Los procedimientos de copias de respaldo y recuperación de los datos se definen en el
Anexo G – PROCEDIMIENTO DE COPIAS DE SEGURIDAD Y RECUPERACIÓN DE DATOS. La
periodicidad mínima para la realización de copias de respaldo será de una semana salvo
que no se haya producido alguna modificación de los datos.
Para llevar a cabo la recuperación de los datos se cumplimentará el modelo de
Autorización para la recuperación de los datos del Anexo G.
Gestión de incidencias
Los procedimientos de notificación, gestión y resolución de las incidencias que afecten
a datos de nivel básico se encuentran definidos en el Apartado 11 – GESTION DE
INCIDENCIAS.
La detección de una incidencia exigirá la cumplimentación íntegra del Impreso de
Declaración de Incidencia contenido en el Anexo J – GESTION DE INCIDENCIAS y será
comunicada al Responsable del Tratamiento o se realizará una comunicación que
contenga, como mínimo, la misma información solicitada en dicho impreso.
Gestión de soportes
El concepto “soporte” engloba tanto los dispositivos digitales o automatizados (Móvil,
CD, DVD, Disco Duro, Pendrive, Cinta DAT, etc.) como los no automatizados (papel,
negativos fotográficos, microfilms, etc.) que contienen datos de carácter personal.
Se deberá identificar el tipo de información que contienen, ser inventariados y limitarse
el acceso al personal autorizado. Se exceptúan estas obligaciones cuando las
características físicas del soporte imposibiliten su cumplimiento, quedando constancia
motivada de ello en el documento de seguridad.
El Anexo F – INVENTARIO DE SOPORTES recoge la relación de Soportes que contienen
datos de carácter personal. En la misma se hace constar la identificación de cada uno de
ellos y la información que almacenan.
▪ Entradas y salidas de soportes
Una salida de soportes se producirá siempre que un dispositivo que contenga
datos de carácter personal salga fuera de los locales o instalaciones del
Responsable del Tratamiento.
Las entradas de soportes se dan cuando un dispositivo ajeno entra en los locales
o instalaciones del Responsable del Fichero.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
23
Con el objetivo de simplificar la actualización del registro de salidas y entradas de
soportes se han distinguido dos tipos de registros:
− Registro de entradas y salidas periódicas: La salida de soportes suele ser
el precedente de un acto que se repetirá un número de veces a lo largo
del año y que, con carácter general, no sufrirá alteraciones en el
procedimiento (por ejemplo, envío de datos de los trabajadores a la
asesoría laboral para que proceda al cálculo de las nóminas).
Cuando se den las notas de periodicidad e invariabilidad del
procedimiento podrá registrar una salida periódica en el Anexo F –
INVENTARIO DE SOPORTES.
− Registro de entradas y salidas no periódicas: La nota distintiva de este
tipo de entradas y salidas de soportes es el carácter extraordinario (por
ejemplo, el traslado del servidor a un local distinto). Cuando se produzca
el hecho extraordinario que motive una entrada o salida de soportes
deberá registrarse en el Anexo F – INVENTARIO DE SOPORTES.
A continuación se detallan los requisitos que deberán cumplirse cuando se
produzca una salida de soportes:
a) Autorización para la salida de soportes
Cuando se produzca una salida de soportes el Responsable del
Tratamiento deberá detectar si se trata de una salida periódica o no
periódica de soportes y, en su caso, cumplimentar el modelo
correspondiente de autorización.
Si se trata de una salida periódica de soportes bastará con
cumplimentar el modelo una única vez, mientras no se produzca una
modificación en la periodicidad de las salidas o en el procedimiento
seguido para su realización.
Si se trata de una salida de soportes no periódica se cumplimentará el
Modelo de Autorización para la salida de soportes disponible en el
Anexo F – INVENTARIO DE SOPORTES.
b) Entradas de soportes
Deberá establecerse un registro de entrada de soportes que permita,
directa o indirectamente, conocer el tipo de documento o soporte, la
fecha y hora, el emisor, el número de documentos o soportes incluidos
en el envío, el tipo de información que contienen, la forma de envío y
la persona responsable de la recepción que deberá estar debidamente
autorizada.
▪ Desechado y reutilización de soportes
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
24
Los soportes desechados y/o reutilizados serán objeto de aplicación de las
medidas de seguridad pertinentes para evitar una recuperación posterior de la
información que contenían. Se tendrá en cuenta los diferentes sistemas de
borrado existentes con vistas a impedir un acceso a la información que contenían
los soportes por parte de personal propio o ajeno no autorizado. Existe un
Registro de Soportes Desechados o reutilizados en el que se especifican las
medidas adoptadas en el Anexo F.
Trabajo fuera de los locales
Los tratamientos de datos que se realicen fuera de los locales de la ubicación del fichero
serán autorizados por el Responsable del Tratamiento o por la persona en que éste
delegue dicha autorización. El modelo de impreso disponible en el Apartado 10 –
AUTORIZACIONES, deberá ser íntegramente cumplimentado antes de producirse el
tratamiento fuera de los locales o dependencias del Responsable del Tratamiento.
En cualquier caso, se garantizará el nivel de seguridad que corresponda en atención a los
datos tratados.
Ficheros temporales
Con carácter general el Responsable del Tratamiento velará porque los usuarios del
sistema de información no generen ficheros temporales. Si fuese necesaria la creación
de ficheros temporales se cumplimentará la correspondiente autorización para la
creación de ficheros temporales y se adoptarán las medidas de seguridad que
corresponda en atención a la naturaleza de los datos contenidos en el fichero.
Cuando concluya la tarea o finalidad que motivó la creación del fichero temporal, el
fichero será suprimido del equipo de trabajo del usuario.
Acceso a datos a través de redes de telecomunicaciones
En el supuesto de existir un acceso a datos a través de redes de comunicaciones se
determinarán las medidas de seguridad que garanticen el nivel de seguridad equivalente
al adoptado para los accesos en modo local.
Pruebas con datos reales
Podrán realizarse dichas pruebas cuando se garantice el nivel de seguridad de los datos
y lo autorice el Responsable del Tratamiento.
En cualquier caso, con carácter previo a la realización de estas pruebas, se realizará una
copia de seguridad para garantizar la conservación de los datos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
25
4.4.3. TRATAMIENTOS NO AUTOMATIZADOS
Se entenderá aplicable a los ficheros no automatizados todo lo dispuesto en este
Documento relativo a:
• Ámbito de aplicación y niveles de seguridad.
• Encargados del tratamiento y prestaciones de servicios sin acceso a datos
personales.
• Delegación de autorizaciones.
• Régimen de trabajo fuera de los locales del Responsable encargado del
tratamiento.
• Copias de trabajo de documentos.
• Documento de seguridad.
• Asimismo, también será de aplicación a los ficheros no automatizados aquello
dispuesto para los ficheros automatizados de nivel básico relativo a:
o Las funciones y obligaciones del personal.
o Los registros de incidencias.
o Los controles de acceso.
o La gestión de soportes.
Medidas de seguridad específicas de los Ficheros no Automatizados
▪ Medidas aplicables a ficheros
Criterios de archivo. Salvo que exista regulación específica que establezca
criterios específicos de archivo de la documentación, los criterios establecidos en
la organización serán los establecidos en el Anexo O – CRITERIOS DE ARCHIVO DE
LA DOCUMENTACIÓN y, en todo caso, garantizarán la correcta conservación de
los documentos, su rápida localización y consulta y la posibilidad de atender
debidamente el ejercicio de los derechos de acceso, rectificación, cancelación y
oposición.
Los dispositivos de almacenamiento (armarios, cajoneras, archivadores, etc.), en
los que se almacenen documentos que contengan datos de carácter personal
estarán dotados de algún mecanismo que obstaculice su apertura e imposibilite
el acceso a los datos a terceros no autorizados. En el supuesto de que las
características físicas del local (por ejemplo: por estar abierto al público)
imposibiliten el cumplimiento de esta medida el Responsable del Fichero velará
porque terceras personas no autorizadas accedan a la documentación
almacenada.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
26
4.5. Notificación de “violaciones de seguridad de los datos”
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas
como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente
que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso
no autorizado a las bases de datos de una organización (incluso por su propio personal)
o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz
del RGPD y deben ser tratadas como el Reglamento establece.
Cuando se produzca una violación de la seguridad de los datos, el responsable debe
notificarla a la autoridad de protección de datos competente, a menos que sea
improbable que la violación suponga un riesgo para los derechos y libertades de los
afectados.
EL GRAN ESCAPE debe documentar todas las violaciones de seguridad.
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo
para los derechos o libertades de los interesados, la notificación a la autoridad de
supervisión deberá complementarse con una notificación dirigida a estos últimos.
El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas
que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
27
DEBER DE INFORMAR.
En el artículo 12 del RGPD se fijan las obligaciones que tiene el Responsable del
Tratamiento y, que en su caso, debe exigir a los Encargados del Tratamiento, respecto a
Transparencia de la información, comunicación y modalidades de ejercicio de los
derechos del interesado.
EL GRAN ESCAPE ha revisado todos sus tratamientos para eliminar el consentimiento por
omisión y disponer siempre de un consentimiento inequívoco.
EL GRAN ESCAPE Ha adaptado sus sistemas de información para cumplir los
requerimientos del RGPD conforme a lo siguiente:
5.1. Obligación
La obligación de informar a las personas interesadas sobre las circunstancias relativas al
tratamiento de sus datos recae sobre el Responsable del Tratamiento.
EL GRAN ESCAPE pone la información a disposición de los interesados en el momento en
que se solicitan los datos, previamente a la recogida o registro, si es que los datos se
obtienen directamente del interesado.
EL GRAN ESCAPE informa a las personas interesadas con un lenguaje claro y sencillo, y
de forma concisa, transparente, inteligible y de fácil acceso.
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna
cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas
interesadas dentro de un plazo razonable, pero en cualquier caso:
▪ antes de un mes desde que se obtuvieron los datos personales,
▪ antes o en la primera comunicación con el interesado,
▪ antes de que los datos, en su caso, se hayan comunicado a otros destinatarios
Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el
responsable deberá poder acreditar con posterioridad que la obligación de informar ha
sido satisfecha.
¿Cuándo NO es preciso informar?
Únicamente no será necesario informar cuando el interesado ya disponga de la
información, ni tampoco, en el caso de que los datos no procedan del interesado,
cuando:
▪ la comunicación resulte imposible o suponga un esfuerzo desproporcionado,
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
28
▪ el registro o la comunicación esté expresamente establecido por el Derecho de
la Unión o de los Estados miembros,
▪ cuando los datos deban seguir teniendo carácter confidencial por un deber legal
de secreto.
5.2. Como informar
Los modos de informar a las personas interesadas se han adaptado a las circunstancias
de cada uno de los medios empleados para la recopilación o registro de los datos, en
concreto:
▪ Formularios en papel.
▪ Navegación y Formularios Web.
▪ Entrevista telefónica.
▪ Registro de aplicaciones móviles
5.3. Presentación de información
EL GRAN ESCAPE para hacer compatible la mayor exigencia de información que
introduce el RGPD y la concisión y comprensión en la forma de presentarla ha
adoptado un modelo de información por niveles, presentando:
▪ Un primer nivel con una información básica, de forma resumida, en el mismo
momento y en el mismo medio en que se recojan los datos.
Se presentan siempre los epígrafes: “Responsable”, “Finalidad”, “Legitimación”,
“Destinatarios” y “Derechos” y “Procedencia” únicamente cuando los datos no
procedan del propio interesado.
▪ remitir a la información adicional en un segundo nivel, donde se presentarán
detalladamente el resto de las informaciones, en un medio más adecuado para
su presentación, comprensión y, si se desea, archivo.
EL GRAN ESCAPE en una entrevista telefónica ofrece la información básica como una
locución clara y concisa, asegurándose que el interlocutor ha comprendido la
información suministrada, antes de proceder a la recogida de la información.
EL GRAN ESCAPE oferta al interesado poner a su disposición la información adicional por
otro medio.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
29
5.4. Medidas
EL GRAN ESCAPE ha tomado las medidas oportunas para facilitar al interesado toda
información indicada en los artículos 13 (Información que deberá facilitarse cuando los
datos personales se obtengan del interesado) y 14 (Información que deberá facilitarse
cuando los datos personales no se hayan obtenido del interesado), así como
cualquier comunicación relativa al tratamiento, en forma concisa, transparente,
inteligible y de fácil acceso, con un lenguaje claro y sencillo.
La información será facilitada por escrito o por otros medios, inclusive, si procede, por
medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse
verbalmente siempre que se demuestre la identidad del interesado por otros medios.
EL GRAN ESCAPE facilita al interesado el ejercicio de sus derechos (de acceso,
rectificación y supresión, limitación del tratamiento, portabilidad de los datos, oposición
y decisiones individuales automatizadas) en virtud de los artículos 15 a 22.
EL GRAN ESCAPE facilita al interesado información relativa a sus actuaciones sobre la
base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo
de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros
dos meses en caso necesario, teniendo en cuenta la complejidad y el número de
solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en
el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la
dilación. Cuando el interesado presente la solicitud por medios electrónicos, la
información se facilitará por medios electrónicos cuando sea posible, a menos que el
interesado solicite que se facilite de otro modo.
A las actuales obligaciones respecto de la información que se ha de facilitar a las
personas interesadas en el momento en que se soliciten los datos:
▪ La existencia de un tratamiento, su finalidad y destinatarios.
▪ El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
▪ La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
▪ La identidad y datos de contacto del responsable del tratamiento.
EL GRAN ESCAPE ha añadido conforme al RGPD las siguientes:
▪ La base jurídica o legitimación para el tratamiento,
▪ El plazo o los criterios de conservación de la información,
▪ La existencia de decisiones automatizadas o elaboración de perfiles,
▪ La previsión de transferencias a Terceros Países
▪ El derecho a presentar una reclamación ante las Autoridades de Control
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
30
Y además, en el caso de que los datos no se obtengan del propio interesado:
▪ El origen de los datos
▪ Las categorías de los datos
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
31
DERECHOS DEL INTERESADO.
EL GRAN ESCAPE en cumplimiento de los artículos 12 a 23 del RGPD tiene a disposición
de los interesados los documentos que deberán cumplimentar cuando ejerzan sus
derechos de acceso, rectificación y supresión, oposición y decisiones individuales
automatizadas, limitaciones.
EL GRAN ESCAPE, en todos los medios y soportes donde solicita datos a los interesados,
informa a los mismos donde y como pueden ejercer sus derechos anteriormente
mencionados.
EL GRAN ESCAPE ha informado a todos los trabajadores acerca del procedimiento para
atender los derechos de los interesados, definiendo de forma clara los mecanismos por
los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de
Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:
o Previa presentación de su documento nacional de identidad o pasaporte, los
titulares de los datos personales (interesados) podrán ejercer sus derechos de
acceso, rectificación, supresión, oposición y portabilidad. El responsable del
tratamiento deberá dar respuesta a los interesados sin dilación indebida.
Para el derecho de acceso se facilitará a los interesados la lista de los datos
personales de que disponga junto con la finalidad para la que han sido
recogidos, la identidad de los destinatarios de los datos, los plazos de
conservación, y la identidad del responsable ante el que pueden solicitar la
rectificación supresión y oposición al tratamiento de los datos.
Para el derecho de rectificación se procederá a modificar los datos de los
interesados que fueran inexactos o incompletos atendiendo a los fines del
tratamiento.
Para el derecho de supresión se suprimirán los datos de los interesados
cuando los interesados manifiesten su negativa u oposición al
consentimiento para el tratamiento de sus datos y no exista deber legal
que lo impida.
Para el derecho de portabilidad los interesados deberán comunicar su
decisión e informar al responsable, en su caso, sobre la identidad del nuevo
responsable al que facilitar sus datos personales.
El responsable del tratamiento deberá informar a todas las personas con acceso
a los datos personales acerca de los términos de cumplimiento para atender los
derechos de los interesados, la forma y el procedimiento en que se atenderán
dichos derechos.
A continuación se relacionan los documentos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
32
6.1. Derecho de acceso
EJERCICIO DEL DERECHO DE ACCESO
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre:
CIF.:
Domicilio:
A/A de D. (Nombre de la persona designada).
DATOS DEL SOLICITANTE
D./ Dª ______________________________, mayor de edad, con domicilio en la
C/_______________________, con D.N.I. , del que acompaña
fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso,
de conformidad con el artículo 15 del Reglamento (UE) 2016/679 de protección de datos de
carácter personal.
SOLICITA
1.- La confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso,
ejercer el derecho de acceso a los datos personales y a la información detallada a continuación:
(detallar la información deseada)
2.- Que se le facilite el acceso al fichero en el plazo máximo de un mes a contar desde la recepción
de esta solicitud, entendiendo que si transcurre este plazo sin que de forma expresa se conteste
a la mencionada petición de acceso se entenderá denegada.
3.- Que si la solicitud del derecho de acceso fuese estimada, se facilite una copia de los datos
personales objeto de tratamiento por correo a la dirección arriba indicada en el plazo de diez días
desde la resolución estimatoria de la solicitud de acceso. Cuando el interesado presente la
solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la
información se facilitará en un formato electrónico de uso común.
4.- Que esta información comprenda de modo legible e inteligible los datos de base que sobre mi
persona están incluidos en su fichero, y los resultantes de cualquier elaboración, proceso o
tratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretos
usos y finalidades para los que se almacenaron.
En ____, a _ de __ de 20__
Fdo.: ________________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
33
6.2. Derecho de rectificación
EJERCICIO DEL DERECHO DE RECTIFICACIÓN
Petición de corrección de datos personales inexactos o incorrectos objeto de tratamientos.
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre:
C.I.F.:
Domicilio:
A/A de D. (Nombre de la persona designada).
DATOS DEL SOLICITANTE
Nombre de Proveedor / Cliente: _____
D/ Dª ___________________________ mayor de edad, con domicilio en la calle
__________________________________, con D.N.I. _, del que
acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho
de rectificación, de conformidad con el artículo 16 del Reglamento (UE) 2016/679 de protección
de datos personales.
SOLICITA
Que se proceda a la efectiva corrección sin dilación indebida desde la recepción de esta
solicitud, de los datos inexactos relativos a mi persona que se encuentren en sus sistemas de
información.
Los datos que hay que rectificar se enumeran en la hoja anexa, haciendo referencia a los
documentos que se acompañan a esta solicitud y que acreditan, en caso de ser necesario, la
veracidad de los nuevos datos.
Que me comuniquen de forma escrita a la dirección arriba indicada, la rectificación de los
datos una vez realizada.
Que, en el caso de que ___ considere que la rectificación no procede, lo
comunique igualmente, de forma motivada y sin dilación indebida.
En _, a de _____ de 20__
Fdo.: _____________________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
34
6.3. Derecho de supresión
EJERCICIO DEL DERECHO DE SUPRESIÓN
DATOS DEL RESPONSABLE DEL TRATAMIENTO
Nombre: _________________
C.I.F.:
Domicilio:
A/A de D. (Nombre de la persona designada).
DATOS DEL SOLICITANTE
Nombre Proveedor / Cliente: ________________
D./ Dª ________________________________, mayor de edad, con domicilio en
la calle _________________________________, con D.N.I. _, del que
acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho
de cancelación, de conformidad con el artículo 17 del Reglamento (UE) 2016/679 de protección
de datos (en adelante, RGPD).
SOLICITA
Que sin dilación indebida, desde la recepción de esta solicitud, se proceda a la efectiva
supresión de cualesquiera datos relativos a mi persona que se encuentren en sus sistemas de
información, en los términos previstos en el RGPD y me lo comuniquen de forma escrita a la
dirección arriba indicada.
Que, en el caso de que _________, considere que dicha cancelación no procede,
lo comunique igualmente, de forma motivada y sin dilación indebida.
En _, a _ de ____ de 20__
Fdo.: _____________________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
35
6.4. Derecho de oposición
EJERCICIO DEL DERECHO DE OPOSICIÓN
DATOS DEL RESPONSABLE TRATAMIENTO
Nombre:
C.I.F.:
Domicilio:
A/A de D. (Nombre de la persona designada).
DATOS DEL SOLICITANTE
Nombre de Proveedor / Cliente: _____
D/ Dª _____________________________ mayor de edad, con domicilio en la
calle __________________________________, con D.N.I. , del que
acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho
de oposición, de conformidad con el artículo 21 del Reglamento (UE) 2016/679 de protección de
datos de carácter personal.
EXPONGO,
(describir la situación en la que se produce el tratamiento de sus datos personales y enumerar
los motivos por los que se opone al mismo)
Para acreditar la situación descrita, acompaño una copia de los siguientes documentos:
(enumerar los documentos que adjunta con esta solicitud para acreditar la situación que ha
descrito)
SOLICITO,
Que sea atendido mi ejercicio del derecho de oposición en los términos anteriormente expuestos.
En _____, a _ de _________de 20 Fdo.: ______________________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
36
RELACION RESPONSABLE – ENCARGADO.
La responsabilidad última sobre el tratamiento está atribuida al Responsable del
Tratamiento, que es quien determina la existencia del tratamiento y su finalidad.
EL GRAN ESCAPE selecciona los Encargados de Tratamiento, de forma que garantiza y
está en condiciones de demostrar que el tratamiento se realiza conforme el RGPD
(principio de responsabilidad activa).
▪ Cuando el encargado del tratamiento necesite acceder a los locales o al sistema
de información para la correcta prestación de sus servicios (p.ej. mantenimiento
de hardware, mantenimiento de software, administración de servidores, etc.)
deberá hacerse constar esta circunstancia en el documento de protección de
datos de dicho responsable, comprometiéndose el personal del encargado al
cumplimiento de las medidas de seguridad previstas en el citado documento.
Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar
tales datos a sistemas o soportes distintos de los del responsable, este último
deberá hacer constar esta circunstancia en el documento de seguridad del
responsable, comprometiéndose el personal del encargado al cumplimiento de
las medidas de seguridad previstas en el citado documento.
Si el servicio fuera prestado por el encargado del tratamiento en sus propios
locales, ajenos a los del responsable del fichero, deberá elaborar un documento
de seguridad en los términos exigidos por el artículo 88 de este reglamento o
completar el que ya hubiera elaborado, en su caso, identificando el fichero o
tratamiento y el responsable del mismo e incorporando las medidas de seguridad
a implantar en relación con dicho tratamiento.
En todo caso, el acceso a los datos por el encargado del tratamiento estará
sometido a las medidas de seguridad contempladas en este reglamento.
Ante estos supuestos se aplicará la norma general para los supuestos de acceso
a datos por cuenta de terceros. En los supuestos de acceso a los locales del
Responsable del Fichero se hará firmar la Declaración de Alta de Usuario a la
persona que efectivamente acceda a los datos.
▪ Acceso en locales del Encargado y tratamiento exclusivo del Encargado.
Cuando el acceso a los datos de carácter personal del Responsable del Fichero se
produzca en los locales del Encargado de Tratamiento, éste deberá dejar
constancia en su Documento de Protección de Datos del tratamiento que se está
produciendo y así se exigirá en el contrato de acceso a datos por cuenta de
terceros que regule el acceso. Si los ficheros se tratasen de modo exclusivo en los
locales del encargado de tratamiento deberá anotar ésta circunstancia (fichero
totalmente delegado) en su Documento de Seguridad.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
37
Los supuestos más comunes son los servicios de asesoría fiscal, laboral,
prevención de riesgos, marketing, etc.… siempre que impliquen un acceso a datos
de carácter personal.
Con el fin de verificar el cumplimiento de ésta medida el Responsable del
Tratamiento se reservará la facultad de solicitar al Encargado de Tratamiento la
parte de su Documento de Protección de Datos en la que se determinen o
verifiquen el cumplimiento las medidas de seguridad aplicadas al tratamiento de
datos objeto de encargo.
▪ Prestaciones de servicios sin acceso a datos personales
Los servicios que impliquen un potencial acceso a los soportes o documentos del
sistema de información del Responsable del Tratamiento se regularán mediante
la firma de una Adenda al contrato de prestación de servicios (ver apartado 7.2)
en la que se regule la prohibición de acceder a los datos y el deber de secreto.
En el Anexo N se relacionan los Encargados de Tratamiento.
Las relaciones entre EL GRAN ESCAPE y el Encargado se formalizan en dos tipos de
contrato:
▪ Tratamiento de Datos por Cuenta de un Tercero, para aquellos tratamientos que
conllevan una cesión de datos de carácter personal para la prestación del servicio
contratado.
▪ Contrato de Confidencialidad, para aquellos tratamientos que no conllevan una
cesión de datos de carácter personal para la prestación del servicio contratado,
pero el Encargado podría acceder a datos.
Los contratos firmados quedan archivados en el Archivador identificado por “Contratos
con Encargados de Tratamiento” que se encuentra en un armario bajo llave.
A continuación se detallan la plantilla de ambos contratos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
38
7.1. Contrato de Tratamiento de Datos por cuenta de un Tercero

En , a de __ de 20__
REUNIDOS
De una parte, D/Dña. _, con D.N.I. _, actuando en nombre y
representación de _________ (en adelante, el RESPONSABLE DEL TRATAMIENTO),
provista de C.I.F. _ y con domicilio a efectos de notificaciones en _____.
Y de otra parte, D/Dña. ___________, con D.N.I./N.I.E. _, actuando
en nombre y representación de ______________ (en adelante, el ENCARGADO
DEL TRATAMIENTO), provisto de C.I.F. _ y con domicilio a efectos de notificaciones en
___________________________.
Y, reconociéndose ambas partes, mutua y recíprocamente con capacidad legal suficiente para el
presente acto,
EXPONEN
I. Que el RESPONSABLE DEL TRATAMIENTO se dedica, entre otras actividades, a
___ y es responsable del tratamiento de los datos de carácter personal indicados
más abajo en el marco del ejercicio de las actividades y desarrollo de su objeto social (en
adelante, “LOS DATOS”).
II. Que el ENCARGADO DEL TRATAMIENTO se dedica, entre otras actividades ____
y va a prestar servicios de ________ (en adelante, los “Servicios”) a EL
RESPONSABLE, para cuyos fines necesita acceder a LOS DATOS.
III. Que, en base a lo anterior, el RESPONSABLE DEL TRATAMIENTO mantiene con el ENCARGADO
DEL TRATAMIENTO una relación mercantil de prestación de servicios.
IV. Que el acceso a los datos es necesario para la prestación de los servicios acordados entre EL
RESPONSABLE y EL ENCARGADO y con el fin de proteger dichos datos de carácter personal y dar
cumplimiento a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el
que se deroga la Directiva 95/46/CE (en adelante “RGPD”), las partes celebran el presente
contrato con sujeción a las siguientes,
ESTIPULACIONES
PRIMERA.- OBJETO.
El presente contrato tiene por objeto habilitar a EL ENCARGADO para tratar, por cuenta de EL
RESPONSABLE, los datos de carácter personal necesarios para prestar los Servicios contratados,
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
39
así como regular la forma y condiciones en las que se llevará a cabo dicho tratamiento, siempre
de conformidad con el RGPD.
SEGUNDA.- FINALIDAD DEL TRATAMIENTO
La finalidad del tratamiento de LOS DATOS por parte de EL ENCARGADO, es la ejecución de las
prestaciones derivadas de los Servicios contratados por EL RESPONSABLE.
Concreción de los tratamientos a realizar:
Recogida Registro
Estructuración Modificación
Conservación Extracción
Consulta Comunicación por transmisión
Difusión Interconexión
Cotejo Limitación
Supresión Destrucción
Comunicación Documentación
Otros: ______________________________________
Toda la información se solicita a través , contenida en un soporte ____.
TERCERA.- RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO.
A los efectos previstos en el presente contrato, se entenderá por:
Responsable del tratamiento: La persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido
y uso del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del tratamiento los entes sin personalidad jurídica que actúen
en el tráfico como sujetos diferenciados.
Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano
administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia
de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la
prestación de un servicio.
Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen
en el tráfico como sujetos diferenciados.
CUARTA.- CATEGORIAS DE INTERESADOS Y TIPOS DE DATOS.
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el
RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO la
información que se describe a continuación:
EMPLEADOS
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
40

Datos Identificativos: DNI/NIF, Nombre y apellidos, E-mail, Dirección, Teléfono, Fax,
Imagen y firma.
Datos de Características Personales: Estado civil, Datos de familia, Fecha de nacimiento,
Lugar de nacimiento, Edad, Sexo y Nacionalidad
Datos Académicos y Profesionales: Formación y titulaciones, Historial de estudiante,
Experiencia profesional, Pertenencia a Colegios o a Asociaciones Profesionales
Datos de detalle de empleo: Profesión, Puestos de trabajo, Datos no económicos de
nómina, Historial del Trabajador.
Datos económico-financieros: Datos bancarios, Datos económicos de nómina, Seguros.
CLIENTES
Datos de carácter identificativo: DNI/NIF, nombre y apellidos, e-mail, dirección, teléfono,
fax y firma.
Datos de Características Personales: Fecha de nacimiento, Sexo y Nacionalidad
Datos Académicos y Profesionales: Formación y titulaciones, Historial de estudiante,
Experiencia profesional, Pertenencia a Colegios o a Asociaciones Profesionales
Datos económico-financieros: datos bancarios.
PROVEEDORES
Datos de carácter identificativo: DNI/NIF, nombre y apellidos, e-mail, dirección, teléfono,
fax y firma.
Datos económico-financieros: datos bancarios.
COLABORADORES
Datos de carácter identificativo: DNI/NIF, nombre y apellidos, e-mail, dirección, teléfono,
fax y firma.
Datos Académicos y Profesionales: Formación y titulaciones, Historial de estudiante,
Experiencia profesional, Pertenencia a Colegios o a Asociaciones Profesionales
Datos económico-financieros: datos bancarios.
QUINTA.- OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO.

Asumir todas las medidas y obligaciones que para los responsables del tratamiento se
establezcan en el RGPD, frente a los interesados y frente a la AEPD, sin perjuicio de los
compromisos de colaboración asumidos por EL ENCARGADO en este contrato, los cuales no
suponen ni una delegación ni sustitución ni renuncia por parte de EL RESPONSABLE..
Entregar a EL ENCARGADO o facilitar su acceso a los datos a los que se refiere la cláusula
Cuarta “Categorías de interesados y tipos de datos” de este documento y cualquier otro
que pueda necesitar para la correcta prestación de los Servicios.
Realizar, si procede, una evaluación del impacto en la protección de datos personales.
Realizar las consultas previas que corresponda.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por
parte de EL ENCARGADO.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
SEXTA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
41
EL ENCARGADO y todo su personal se obliga a:
Uso de LOS DATOS.
El ENCARGADO DEL TRATAMIENTO se compromete a tratar los datos de carácter personal
responsabilidad del RESPONSABLE DEL TRATAMIENTO conforme a las instrucciones de éste
y no aplicarlos o utilizarlos con fin distinto a la finalidad objeto de este encargo.
En el caso de que el ENCARGADO DEL TRATAMIENTO destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del presente contrato, será
considerado también RESPONSABLE DEL TRATAMIENTO, respondiendo frente al
RESPONSABLE DEL TRATAMIENTO, los afectados o interesados, Agencia Española de
Protección de Datos y, en su caso, autoridades autonómicas de protección de datos, del
incumplimiento de las mismas y de las infracciones en que hubiera incurrido personalmente.
Instrucciones.
El ENCARGADO DEL TRATAMIENTO se compromete a tratar los datos de acuerdo con las
instrucciones del RESPONSABLE DEL TRATAMIENTO. Si el ENCARGADO DEL TRATAMIENTO
considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en
materia de protección de datos de la Unión o de los Estados miembros, el ENCARGADO DEL
TRATAMIENTO informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.
Cuando corresponda, de acuerdo con lo establecido en el artículo 30.2 del RGPD, llevar, por
escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por
cuenta de EL RESPONSABLE, que contenga:
a) El nombre y los datos de contacto del encargado o encargados y de cada responsable
por cuenta del cual actúe el encargado y, en su caso, del representante del responsable
o del encargado y del DPD.
b) Las categorías de tratamientos efectuados por cuenta de cada responsable.
c) En su caso, las transferencias de datos personales a un tercer país u organización
internacional, incluida la identificación de dicho tercer país u organización
internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1,
párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Una descripción general de las medidas técnicas y organizativas de seguridad relativas
a:

La seudonimización y el cifrado de datos personales.
La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
La capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida, en caso de incidente físico o técnico.
El proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.

Cesión y comunicación de LOS DATOS
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
42
El ENCARGADO DEL TRATAMIENTO se compromete a no comunicar a terceros, ni siquiera
para su conservación, los datos de carácter personal responsabilidad del RESPONSABLE DEL
TRATAMIENTO a los que tenga acceso con objeto de la relación mercantil de prestación de
servicios que le une con éste.
No obstante, el ENCARGADO DEL TRATAMIENTO no incurrirá en responsabilidad cuando,
previa indicación expresa y por escrito del RESPONSABLE DEL TRATAMIENTO, comunique
los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de
un servicio conforme a lo previsto en el Capítulo III del Título II del Real Decreto 1720/2007,
de 21 de diciembre.
El ENCARGADO DEL TRATAMIENTO puede comunicar los datos a otros encargados del
tratamiento del mismo RESPONSABLE DEL TRATAMIENTO, de acuerdo con las instrucciones
del RESPONSABLE DEL TRATAMIENTO. En este caso, el RESPONSABLE DEL TRATAMIENTO
identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos,
los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el ENCARGADO DEL TRATAMIENTO debe transferir datos personales a un tercer país o a
una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros
que le sean aplicable, informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal
de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés
público.
Subcontratación
El ENCARGADO DEL TRATAMIENTO se compromete a no subcontratar ninguna de las
prestaciones que formen parte del objeto del Contrato de Servicio que comporten el
tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal
funcionamiento de los servicios de EL ENCARGADO.
Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar
previamente y por escrito a EL RESPONSABLE, con una antelación mínima de [QUINCE DÍAS],
indicando los tratamientos que se pretenden subcontratar e identificando de forma clara e
inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá
llevarse a cabo si EL RESPONSABLE no manifiesta su oposición en el plazo establecido.
El subcontratista, que también tendrá la condición de EL ENCARGADO, está obligado
igualmente a cumplir las obligaciones establecidas en este documento para EL ENCARGADO
y las instrucciones que dicte EL RESPONSABLE. Corresponde a EL ENCARGADO inicial, regular
la nueva relación de forma que el nuevo encargado del tratamiento (o subencargado) quede
sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad y resto
de condiciones establecidas) y con los mismos requisitos formales que él, en lo referente al
adecuado tratamiento de los datos personales y a la garantía de los derechos de las
personas afectadas. En el caso de incumplimiento por parte del subencargado, EL
ENCARGADO inicial seguirá siendo plenamente responsable ante EL RESPONSABLE en lo
referente al cumplimiento de las obligaciones propias y del subencargado.
Deber de secreto
El ENCARGADO DEL TRATAMIENTO se compromete a cumplir, en cualquier fase del
tratamiento y respecto de los datos de carácter personal responsabilidad del RESPONSABLE
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
43
DEL TRATAMIENTO, con el deber de secreto, que, de conformidad con lo establecido en el
artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, subsistirá aun después de
finalizar la relación mercantil de prestación de servicios con el RESPONSABLE DEL
TRATAMIENTO, así como, en su caso, tras la finalización por cualquier causa del presente
contrato.
Garantizar que las personas autorizadas para tratar datos personales se comprometan, de
forma expresa y por escrito, a respetar la confidencialidad (Si existe una obligación de
confidencialidad de naturaleza estatutaria deberá quedar constancia expresa de la
naturaleza y extensión de esta obligación.) y a cumplir las medidas de seguridad
correspondientes, de las que hay que informarles convenientemente.
Garantizar que las personas autorizadas para tratar datos personales se comprometan, de
forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de
seguridad correspondientes, de las que hay que informarles convenientemente,
manteniendo a disposición de EL RESPONSABLE la documentación acreditativa del
cumplimiento de esta obligación.
Garantizar la formación necesaria en materia de protección de datos personales de las
personas autorizadas para tratar datos personales.
Asistir a EL RESPONSABLE en la respuesta al ejercicio de los derechos de acceso,
rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos, así
como a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración
de perfiles).
En este sentido, cuando las personas afectadas ejerzan estos derechos ante EL ENCARGADO,
éste debe comunicarlo por correo electrónico a la dirección que indique EL RESPONSABLE
para ello. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del
día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras
informaciones que puedan ser relevantes para resolver la solicitud.
Derecho de información y consentimiento.
Corresponde a EL RESPONSABLE facilitar el derecho de información en el momento de la
recogida de los datos y garantizará que los interesados el oportuno consentimiento al
tratamiento de sus datos.
11.- Notificación de violaciones de la seguridad de los datos
EL ENCARGADO notificará a EL RESPONSABLE, sin dilación indebida, y en cualquier caso
antes del plazo máximo de cuarenta y ocho horas (48 h) y a través de medio que deje
constancia de la comunicación (preferiblemente vía correo electrónico a _),
las violaciones de la seguridad de los datos personales a su cargo de las que tenga
conocimiento, juntamente con toda la información relevante para la documentación y
comunicación de la incidencia.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales,
inclusive, cuando sea posible, las categorías y el número aproximado de interesados
afectados, y las categorías y el número aproximado de registros de datos personales
afectados.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
44
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto
de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos
personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación
de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas
para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea,
la información se facilitará de manera gradual sin dilación indebida.
Dar apoyo a EL RESPONSABLE en la realización de las evaluaciones de impacto relativas a
la protección de datos, cuando proceda.
Dar apoyo a EL RESPONSABLE en la realización de las consultas previas a la AEPD, cuando
proceda.
Poner a disposición de EL RESPONSABLE toda la información necesaria para demostrar el
cumplimiento de sus obligaciones, así como para la realización de las auditorías o las
inspecciones que realicen EL RESPONSABLE u otro auditor autorizado por él.
Implantar las medidas de seguridad establecidas en virtud del análisis de riesgos llevado
cabo por EL ENCARGADO.
En todo caso, dichas medidas contendrán, concretamente, mecanismos para (art.32 RGPD):
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en
caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
El ENCARGADO DE TRATAMIENTO ha adoptado medidas de seguridad, ver Anexo I, en
cumplimiento de la normativa vigente de Protección de Datos de Carácter Personal.
Designar, en su caso, un delegado de protección de datos y comunicar su identidad y datos
de contacto a EL RESPONSABLE.
Siguiendo las instrucciones que en su momento comunique EL RESPONSABLE, una vez
finalizado el Contrato de Servicios EL ENCARGADO devolverá o destruirá los datos objeto del
encargo de tratamiento.
A tales efectos, en caso en que proceda la devolución a EL RESPONSABLE, EL ENCARGADO
los pondrá a su disposición devolviendo incluso, si procede, los soportes donde consten. La
devolución, además, comportará, el borrado total de los datos existentes en los equipos
informáticos utilizados por EL ENCARGADO.
En caso de que proceda la devolución a otro encargado de tratamiento designado por
escrito por EL RESPONSABLE, serán entregados al tercero designado los datos de carácter
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
45
personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La
devolución, además, comportará el borrado total de los datos existentes en los equipos
informáticos utilizados por EL ENCARGADO.
Finalmente, en caso en que proceda la destrucción de los datos una vez cumplida la
prestación, una vez destruidos, EL ENCARGADO certificará su destrucción por escrito y
entregará el certificado a EL RESPONSABLE.
En cualquiera de los casos expuestos con independencia de cuál sea la instrucción que
emane de EL RESPONSABLE y que EL ENCARGADO deba atender, en relación con la
devolución al responsable, a otro encargado o la destrucción de los datos, en todos los casos
será posible que EL ENCARGADO conserve una copia, con los datos debidamente
bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación
del Servicio.
SÉPTIMA.- DURACIÓN DEL CONTRATO.
El presente contrato entrará en vigor desde la fecha de su firma y estará vigente hasta la fecha
de terminación de la relación mercantil de prestación de servicios entre el RESPONSABLE DEL
TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO.
OCTAVA.- COEXISTENCIA DE NORMATIVA EN VIGOR.
Sin perjuicio de las obligaciones asumidas en el presente Contrato por cada una de las Partes y
teniendo en cuenta la coexistencia de la normativa actualmente vigente en materia de
protección de datos, constituida por el RGPD, la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal (LOPD) y el Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD), seguirán en
vigor para las Partes las obligaciones derivadas del artículo 12 de la LOPD y disposiciones que lo
desarrollan en el RLOPD previstas en el Contrato de Servicios formalizado entre las Partes o, en
su caso, en el contrato o documento que corresponda, en tanto no se produzca la derogación de
la normativa anterior al RGPD. Producida dicha derogación y, en todo caso, a partir del 25 de
mayo de 2018, quedarán sin efecto cualesquiera estipulaciones que en relación con el objeto de
este contrato hubieran sido adoptadas por las Partes con anterioridad a su formalización. En
consecuencia, a partir de dicha fecha el presente contrato constituirá el acuerdo único entre las
Partes en relación con su objeto y dejará sin efecto cualquier otra negociación, obligación,
contrato o comunicación de cualquier naturaleza entre éstas, sobre el mismo objeto, ya sea
verbal o por escrito, efectuada con anterioridad a la fecha en que se firme el mismo.
En el supuesto de que las partes designen un DPD, en el momento de la designación del mismo,
se enviará un correo electrónico a la otra parte con los datos (teléfono y correo electrónico) de
dicho DPD.
NOVENA.- DATOS INCLUIDOS EN EL PRESENTE CONTRATO
Responsable del tratamiento:
Razón social: _________
CIF: _
Domicilio: ____________
Teléfono: __
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
46
Email: ___________
Finalidades del tratamiento: Sus datos se podrán utilizar para gestionar la relación negocial y/o
contractual y el cumplimiento de obligaciones legales y contractuales.
Legitimación: La base legal para el tratamiento de sus datos es la ejecución de la relación
negocial y/o contractual, según los términos y condiciones que constan en el contrato, y el
cumplimiento de obligaciones legales y contractuales. Todos los datos solicitados en el presente
contrato son de obligada cumplimentación, si no los cumplimenta, _ no podrá
contratar sus servicios.
Plazos/criterios de conservación de los datos: Sus datos personales se conservarán mientras se
mantenga la relación negocial y/o contractual, en cuyo caso, los datos se suprimirán,
entendiendo supresión como bloqueo de los mismos, en este sentido, los datos bloqueados
quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones
Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia
de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las
mismas.
Destinatarios: No se prevé llevar a cabo comunicaciones de datos a terceros, salvo obligación
legal. Ni se van a llevar a cabo transferencias de datos a terceros países sitos fuera de la Unión
Europea.
Ejercicio de derechos: si desea ejercitar los derechos que le asisten de acceso, rectificación,
supresión, portabilidad de sus datos, así como la limitación u oposición a su tratamiento, le
rogamos remita un escrito dirigido a __, a la dirección indicada anteriormente, o al
correo electrónico indicado anteriormente, con la referencia “Protección de Datos”, adjuntando
copia de su DNI o documento identificativo equivalente.
Derecho retirada consentimiento: usted puede revocar en cualquier momento el consentimiento
prestado para el tratamiento de sus datos mediante un escrito dirigido a _, a la
dirección indicada anteriormente, o al correo electrónico indicado anteriormente, con la
referencia “Protección de Datos”, adjuntando copia de su DNI o documento identificativo
equivalente, sin que esta revocación del consentimiento afecte al tratamiento basado en el
consentimiento previo a su retirada.
Reclamación: En todo caso, usted podrá, si entiende que sus derechos han sido vulnerados,
interponer una reclamación ante la Agencia Española a de Protección de Datos, con domicilio en
calle Jorge Juan 6, 28001 de Madrid, teléfono 901 100 099, y sitio web www.agpd.es
DECIMA.- LEY APLICABLE Y FORO. El presente contrato se regirá e interpretará conforme a la
legislación española en aquello que no esté expresamente regulado. Si alguna de las
estipulaciones o condiciones del presente contrato resultara nula, inválida o ineficaz y no pudiera
tener efecto por causa de la legislación aplicable a él, dicha nulidad, invalidez o ineficacia no
afectara al resto de las estipulaciones o condiciones.
Las partes se someten, para las controversias que pudieran surgir en relación con el presente
contrato, a la competencia de los Juzgados y Tribunales de la ciudad señalada en el
encabezamiento del mismo, con renuncia a cualquier otro foro que les pudiera corresponder.
Y, para que así conste y en prueba de su conformidad, ambas partes suscriben el presente
contrato, con su correspondiente Anexos I por duplicado y a un sólo efecto, en lugar y fecha
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
47
señalados en el encabezamiento.
RESPONSABLE DEL TRATAMIENTO ENCARGADO DEL TRATAMIENTO
Fdo.: D/Dña. _______ Fdo.: D/Dña. ________________
ANEXO I AL CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS
FORMA DE ACCESO A LOS DATOS DE CARÁCTER PERSONAL RESPONSABILIDAD DEL
RESPONSABLE DEL TRATAMIENTO
El ENCARGADO DEL TRATAMIENTO accederá a los datos de carácter personal responsabilidad
del RESPONSABLE DEL TRATAMIENTO de la siguiente forma (marcar la casilla que corresponda):
El RESPONSABLE DEL TRATAMIENTO facilitará el acceso a los datos, en los soportes que los
contengan o a los recursos del sistema de información que los trate, al ENCARGADO DEL
TRATAMIENTO, que prestará sus servicios en los locales del primero, haciéndose constar esta
circunstancia en el Documento de Seguridad del RESPONSABLE DEL TRATAMIENTO y
comprometiéndose el personal del ENCARGADO DEL TRATAMIENTO al cumplimiento de las
medidas de seguridad previstas en el citado Documento.
A través de acceso remoto, prohibiéndose expresamente al ENCARGADO DEL TRATAMIENTO
incorporar los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO
a sistemas o soportes distintos de los de éste, haciéndose constar esta circunstancia en el
Documento de Seguridad del RESPONSABLE DEL TRATAMIENTO y comprometiéndose el personal
del ENCARGADO DEL TRATAMIENTO al cumplimiento de las medidas de seguridad previstas en
el citado Documento.
El servicio será prestado por el ENCARGADO DEL TRATAMIENTO en sus propios locales, ajenos
a los del RESPONSABLE DEL TRATAMIENTO.
Fdo. D/Dña. ___________ Fdo. D/Dña. ____________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
48
7.2. Contrato de Tratamiento de Datos sin cesión
(Confidencialidad)
CONTRATO DE CONFIDENCIALIDAD
En ____, a _ de _ de _ REUNIDOS DE UNA PARTE, D/Dña. __________, con D.N.I. _, actuando en nombre
y representación de ____________, con domicilio social en
_________, y CIF _, en adelante EL RESPONSABLE DEL
TRATAMIENTO.
Y DE OTRA PARTE, D./Dña. _______, en su calidad de ________,
con NIF ________, actuando en nombre y representación de
____________, con domicilio social en __________, y CIF
_, en adelante EL ENCARGADO DEL TRATAMIENTO.
EXPONEN
I. Que EL ENCARGADO DEL TRATAMIENTO es una entidad dedicada a prestar servicios de
__________________.
II. Para el correcto cumplimiento de estos servicios no es necesario que EL ENCARGADO DEL
TRATAMIENTO acceda a información contenida en los ficheros, soportes o recursos del sistema
de información cuya titularidad es de EL RESPONSABLE DEL TRATAMIENTO.
III. En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en
adelante RGPD), es intención de ambas partes establecer las obligaciones y responsabilidades
que corresponden a cada una de ellas en el tratamiento de los datos de carácter personal, con
arreglo a las siguientes:
CLÁUSULAS
Primera – FINALIDAD
El objeto de este acuerdo es fijar los términos y condiciones bajo las cuales EL ENCARGADO DEL
TRATAMIENTO mantendrá la confidencialidad de la información a la que pudiera tener acceso
durante su relación laboral en las instalaciones o en comunicación remota con EL RESPONSABLE
DEL TRATAMIENTO.
Segunda – CONFIDENCIALIDAD
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
49
EL ENCARGADO DEL TRATAMIENTO acuerda guardar, en todo momento, la máxima reserva y no
divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos de
carácter personal, los documentos, metodologías, claves, análisis, programas y demás
información a la que tenga acceso durante su relación contractual con EL RESPONSABLE DEL
TRATAMIENTO.
Entender que, en el caso de que por motivos directamente relacionados con el desarrollo del
trabajo entre en posesión de información confidencial bajo cualquier soporte, dicha posesión es
estrictamente incidental, con obligación de secreto profesional, según lo recogido en el RGPD, y
sin que ello irrogue derecho alguno de posesión, o titularidad o copia sobre la referida
información. Obligándose a no poseer ni revelar para usos no propios de su responsabilidad
ningún material o información propiedad de EL RESPONSABLE DEL TRATAMIENTO o sus clientes,
tanto en la actualidad como en el futuro, atendiendo a lo recogido en el RGPD por cuanto resulta
un tercero obligado contractualmente con acceso a los datos.
EL ENCARGADO DEL TRATAMIENTO se compromete a incorporar a su metodología de trabajo las
pautas y medios necesarios para evitar la filtración, manipulación o pérdida de información
confidencial. Obligándose de forma expresa a no depositar documentos o información de
carácter personal, o confidencial en general fuera de las instalaciones de EL RESPONSABLE DEL
TRATAMIENTO, incluyendo contenedores de basura, sin su previa destrucción. Así como la
utilización de materiales, productos o detergentes que pudieran dañar los soportes de la
información, incluyendo, pero no limitándose a; materiales magnetizados, disolventes o líquidos
conductores sobre documentos, equipos eléctricos, informáticos u otro tipo de soportes sensibles.
La parte receptora se responsabilizará de que sus empleados se sujeten a las limitaciones que se
establecen en los dos párrafos anteriores.
Tercera.- La duración inicial del presente contrato está vinculada a la prestación de servicios
establecida en el contrato principal. Los datos personales a los que tenga acceso el contratante
no serán cedidos ni comunicados a terceros ni siquiera para su conservación.
Cuarta.- EL ENCARGADO DEL TRATAMIENTO, devolverá a la finalización del contrato cuantos
soportes contengan datos de carácter personal derivados del presente contrato procediendo al
borrado de aquellos que se encuentren en su poder por cualquier medio ya sea manual o
automatizado, de forma que se garantice plenamente la devolución a EL RESPONSABLE DEL
TRATAMIENTO de aquellos datos que la entidad considere necesarios y al borrado de aquellos
que no fuera necesaria su devolución.
Quinta.- Se adoptarán cuantas medidas de seguridad sean exigidas por las leyes y reglamentos
destinados a preservar el secreto, confidencialidad e integridad en el tratamiento de datos
personales, con objeto de garantizar la seguridad de los datos de carácter personal y evitar su
alteración, tratamiento o acceso no autorizado, así como a adoptar en el futuro.
En éste caso, EL RESPONSABLE DEL TRATAMIENTO, podrá solicitar se acredite o verifique
mediante la realización de una auditoria en los locales de EL ENCARGADO DEL TRATAMIENTO,
que se cumplen todas las medidas de seguridad que se indican en éste apartado.
En caso de ser realizados los servicios que impliquen tratamiento de datos personales, objeto del
presente contrato, en las propias instalaciones de EL RESPONSABLE DEL TRATAMIENTO, en
equipos de hardware y software de ésta, así como cuando este sea remoto. El Encargado del
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
50
Tratamiento deberá cumplir con las medidas de seguridad adoptadas por el Responsable del
Tratamiento para la protección de los datos personales, y que esta previamente le comunique.
Sexta.- EL ENCARGADO DEL TRATAMIENTO, responderá directamente ante la Agencia de
Protección de Datos y frente a terceros de los incumplimientos que se pudieran derivar de las
condiciones anteriores.
EL ENCARGADO DEL TRATAMIENTO, se obliga al secreto profesional respecto a los datos de
carácter personal objeto del tratamiento debiendo guardar secreto durante el tratamiento y con
posterioridad a la finalización del mismo respondiendo frente a EL RESPONSABLE DEL
TRATAMIENTO en caso de incumplimiento sin perjuicio de las responsabilidades que se pudieran
derivar ante la Agencia de Protección de Datos o directamente del interesado.
Séptima.- Los datos personales facilitados por las partes del presente contrato, para los casos en
que éstos sean una persona física o en el caso de representantes de una persona jurídica serán
incorporados a un fichero cuya titularidad corresponde a cada una de las partes
respectivamente.
La finalidad de la recogida y tratamiento de la información es la gestión y mantenimiento de las
relaciones comerciales o profesionales establecidas, así como la de mantenerle informado de
nuevos servicios y ofertas. Asimismo ambas partes se dan por informadas de la posibilidad de
ejercitar sus derechos de acceso, rectificación, cancelación y oposición, respecto de sus datos
personales, pudiendo ejercitar estos derechos por escrito mediante carta dirigida al domicilio de
la parte que corresponda.
Octava.- EL ENCARGADO DEL TRATAMIENTO, se compromete a comunicar y hacer cumplir a sus
empleados, incluidos trabajadores de trabajo temporal, las obligaciones establecidas en los
apartados anteriores y en concreto las relativas al deber de secreto y medidas de seguridad.
El presente Contrato se rige por las estipulaciones del mismo y en lo no previsto, por las normas
del vigente código de comercio y demás legislación mercantil y civil. En caso de controversia entre
las partes surgida de este contrato, ambas, con renuncia expresa a su propio fuero se someten a
la jurisdicción de los Tribunales y Juzgados de Leganés.
Y en prueba de conformidad, ambas partes firman el presente documento en dos ejemplares
originales, en el lugar y fecha indicados en el encabezamiento.
EL RESPONSABLE DEL TRATAMIENTO EL ENCARGADO DEL TRATAMIENTO
Fdo.: D/Dña. ___________ Fdo.: D/Dña. _________
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
51
OBLIGACIONES Y FUNCIONES DEL PERSONAL.
Conforme a lo dispuesto en el RGPD y futuras leyes y normativas a continuación se
detallan las diferentes categorías o perfiles de usuarios del sistema de información.
Los Responsables
El Responsable del Tratamiento
Éste es la persona física o jurídica, que decida sobre la finalidad, contenido y uso del
tratamiento. La responsabilidad por incumplimiento de las disposiciones legales o
reglamentarias corresponderá siempre al Responsable del Fichero sin perjuicio de las
acciones que puedan emprenderse en ámbito laboral o mercantil.
Los Usuarios del Sistema de Información
Usuarios son todos aquellos sujetos o procesos que, para el correcto desarrollo de su
labor, tienen acceso autorizado a los ficheros que contienen datos de carácter personal
ya sea para incluir datos, modificarlos o consultarlos. Las Altas de todos los usuarios se
hallan en el Anexo C – RELACION DE USUARIOS.
c) Los Usuarios
La relación de usuarios con acceso autorizado a los ficheros contenidos en el
sistema de información se halla en el Anexo C, detallándose las funciones y
obligaciones a las que están sometidos.
d) Usuarios externos
Los usuarios ajenos a la organización que accedan a los sistemas de información
del Responsable del Fichero se relacionan en el Anexo C. El Responsable del
Fichero velará porque el preceptivo contrato de acceso a datos por cuenta de
terceros se halle debidamente firmado.
Los administradores de sistemas
Son aquellas personas que se dedican a mantener y operar un sistema de cómputo o
una red. Los administradores de sistemas suelen ser miembros de un departamento
específico. Por lo general se les encomienda la instalación, soporte y mantenimiento de
los servidores u otros sistemas de cómputo, la planeación de respuesta a contingencias
y otros problemas. Se hallan relacionados en el Anexo D – RELACION DE
ADMINISTRADORES.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
52
A continuación se muestran los documentos modelo que se van a utilizar para recoger
las obligaciones y funciones del personal en referencia a la protección de datos de
carácter personal que manejen en la realización de sus funciones en EL GRAN ESCAPE.
Estos documentos los firmarán todos los empleados al inicio de su relación laboral con
EL GRAN ESCAPE.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
53
8.1. CIRCULAR SOBRE SEGURIDAD DE DATOS PERSONALES PARA
TODOS LOS USUARIOS
El objeto de la presente circular es la difusión de las funciones y obligaciones del personal de EL
GRAN ESCAPE, S.L. (en adelante, EL GRAN ESCAPE) en materia de seguridad de datos personales,
según se establece en el Reglamento (UE) 2016/679 y en disposiciones complementarias o
cualquier otra norma que las sustituya en el futuro. El citado reglamento exige, entre otros, los
siguientes aspectos:
• Implementar las medidas de índole técnicas y organizativas necesarias para garantizar
la seguridad que deben reunir los tratamientos con datos de carácter personal,
automatizados o no automatizados, centros de tratamiento, locales, equipos, sistemas,
programas y personas que intervengan en el tratamiento de los datos de carácter
personal.
• La existencia de un Documento de Seguridad donde se recojan las medidas definidas
para garantizar lo dispuesto en reglamento de Seguridad.
• La calificación como infracción leve, grave o muy grave, según el caso, del
incumplimiento de las medidas de seguridad descritas en el reglamento.
La normativa de seguridad plasmada en el Documento de Protección de Datos es de obligado
cumplimiento para todo el personal (interno y externo) con acceso a los datos automatizados de
carácter personal y a los sistemas de información. Este manual se encuentra a disposición de
quien lo desee consultar, previa solicitud al Responsable del Tratamiento. No obstante, a
continuación se presenta un resumen de los aspectos más relevantes:
Con relación a los datos personales almacenados en soportes no automatizados (papel)
se observará las siguientes normas:
a. Mientras la documentación con datos de carácter personal no se encuentre
archivada en los dispositivos habilitados para su almacenamiento, por estar en
proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la
persona que se encuentre al cargo de la misma deberá custodiarla e impedir en
todo momento que pueda ser accedida por personal no autorizado.
b. La generación de copias o la reproducción de los documentos únicamente podrá
ser realizada bajo el control del personal autorizado en el Documento de
Seguridad.
c. Deberá procederse a la destrucción de las copias o reproducciones desechadas
de forma que se evite el acceso a la información contenida en las mismas o su
recuperación posterior.
d. Siempre que se proceda al traslado físico de la documentación contenida en un
fichero, deberán adoptarse medidas dirigidas a impedir el acceso o
manipulación de la información objeto de traslado.
Con relación a las contraseñas se habrán de observar las siguientes normas:
a. Se evitarán nombres comunes, números de matrículas de vehículos, teléfonos,
nombres de familiares, amigos, etc. y derivados del nombre de usuario como
permutaciones o cambio de orden de las letras, transposiciones, repeticiones de
un único carácter, etc.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
54
b. No se accederá al sistema utilizando el identificador y la contraseña de otro
usuario. Las responsabilidades de cualquier acceso realizado utilizando un
identificador determinado, recaerán sobre el usuario al que hubiera sido
asignado.
Cualquier soporte informático recibido en la organización, deberá ser registrado,
siguiendo el procedimiento establecido en el Documento de Seguridad. Una vez
procesado, el soporte recibido deberá ser borrado completamente. En el caso de que por
un motivo justificado se desee conservar el soporte recibido, deberá inventariarse,
siguiendo las normas descritas en el Documento de Seguridad.
La salida de soportes informáticos y ordenadores personales que contengan datos de
carácter personal fuera de la organización precisa de autorización. En el Documento de
Seguridad se describen el procedimiento para obtenerla.
No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.)
con datos personales sin garantizar su destrucción.
Toda incidencia en materia de seguridad deberá comunicarse, siguiendo las instrucciones
determinadas en el citado manual, al Responsable de Seguridad.
Todos los ficheros temporales que los usuarios mantengan en sus ordenadores
personales deberán ser borrados, una vez haya finalizado la finalidad para la que fueron
creados.
Queda terminantemente prohibido la creación de nuevos ficheros que supongan el
tratamiento de datos personales así como la cesión de los mismos sin previa autorización
de la Dirección.
No está permitido instalar “motu propio” ningún producto informático en ordenadores y
sistemas de información de la organización. Todas aquellas aplicaciones necesarias para
el desempeño de su trabajo serán instaladas únicamente por personal del Departamento
de Sistemas de Información o empresa prestataria de los servicios informáticos.
Queda prohibido utilizar los recursos de los sistemas a los que tenga acceso para uso
privado, acceso remoto a las aplicaciones, sistemas de información no recogidos en este
Documento de Seguridad, incluyendo la comparación de archivos mediante redes peer
to peer o para cualquier otra finalidad diferente de las estrictamente laborales. Se
preserva a la entidad el derecho de revisar el correo electrónico del personal, así como
el de monitorizar cualquier sesión de acceso a Internet iniciada por cualquier usuario de
la Red Corporativa.
Bajo ningún concepto puede revelarse a persona alguna ajena a EL GRAN ESCAPE
información, a la que haya tenido acceso en el desempeño de sus funciones, sin la debida
autorización.
Queda terminantemente prohibido facilitar a persona alguna ajena a EL GRAN ESCAPE
ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus
funciones, sin la debida autorización.
Únicamente está permitido utilizar la información referida en el apartado anterior en la
forma exigida por el desempeño de sus funciones en EL GRAN ESCAPE sin estar permitido
disponer de ella de ninguna otra forma o para otra finalidad diferente.
Todos los usuarios finales han sido informados de la prohibición de utilizar herramientas
que permitan la recuperación masiva de información en sus ordenadores. No obstante,
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
55
ciertos usuarios disponen de alguna aplicación que permite tratar y descargar de la base
de datos significativos volúmenes de información.
Los usuarios que han sido autorizados para la utilización de este tipo de herramientas,
también han sido informados de que la descarga de información debe realizarse
únicamente su unidad virtual del disco del servidor y que una vez concluida la finalidad
que motivó la creación del fichero, éste debe ser cancelado.
De un modo similar, los ficheros con datos de carácter personal que se reciban por correo
electrónico deberán ser cancelados cuando hayan dejado de ser necesarios y su
tratamiento, deberá haber sido previamente autorizado.
Queda terminantemente prohibido utilizar ninguna información que hubiese podido
obtener por su condición de empleado o usuario de EL GRAN ESCAPE y que no sea
necesario para el desempeño de sus funciones.
Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la
relación laboral con EL GRAN ESCAPE.
Para cualquier aclaración al respecto puede contactar con el Responsable de Protección de Datos
dirigiendo un escrito a EL GRAN ESCAPE, S.L., C/ ENCOMIENDA 21 – 28004 MADRID.
En , a _ de _ de 20__
Firmado: D/Dña. _______________________
D.N.I. ___
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
56
8.2. COMPROMISO DE CONFIDENCIALIDAD PARA LOS
EMPLEADOS
El abajo firmante, D/Dña. _, con D.N.I. y domicilio en _____,
en el marco de la relación laboral que le une con EL GRAN ESCAPE, S.L. se compromete a:
No revelar a persona alguna ajena a EL GRAN ESCAPE, sin su consentimiento, la
información referente a la que haya tenido acceso en el desempeño de sus funciones en
EL GRAN ESCAPE excepto en el caso de que ello sea necesario para dar debido
cumplimiento a obligaciones del abajo firmante o de la entidad impuestas por las leyes
o normas que resulten de aplicación, o sea requerido para ello por mandato de la
autoridad competente con arreglo a Derecho. Se prestará atención especial en no
divulgar datos personales protegidos durante las consultas telefónicas, correos
electrónicos, etc.
Utilizar la información a que alude el apartado anterior únicamente en la forma que exija
el desempeño de sus funciones en EL GRAN ESCAPE y no disponer de ella de ninguna otra
forma o con otra finalidad.
No utilizar en forma alguna cualquier otra información que hubiese podido obtener
prevaliéndose de su condición de empleado de EL GRAN ESCAPE y que no sea necesaria
para el desempeño de sus funciones en EL GRAN ESCAPE.
Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se
evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas
desatendidas, documentos en papel en zonas de acceso público, soportes con datos
personales, etc.), esta consideración incluye las pantallas que se utilicen para la
visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto
de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
Cumplir, en el desarrollo de sus funciones en EL GRAN ESCAPE, la normativa vigente,
nacional y comunitaria, relativa a la protección de datos de carácter personal y, en
particular, al Reglamento (UE) 216/679 y disposiciones complementarias o cualquier
otra norma que las sustituya en el futuro.
Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa,
la relación laboral que le une con EL GRAN ESCAPE.
El abajo firmante se hace responsable frente a EL GRAN ESCAPE y frente a terceros de cualquier
daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores
y resarcirá a la empresa de las indemnizaciones, sanciones o reclamaciones que ésta se vea
obligada a satisfacer como consecuencia de dicho incumplimiento.
Y para que surta plenos efectos, firmo la presente declaración,
en _, a de ___ de 20__.
Firma,
Le informamos que los datos personales recogidos en el contrato han sido incorporados en las bases de datos de EL
GRAN ESCAPE, para la gestión interna de la relación empresa-empleados y cedidos a las Administraciones públicas en
cumplimiento de la normativa laboral, de Seguridad Social y Tributaria y de Prevención de Riesgos Laborales. El titular
de los datos se compromete a comunicar por escrito a la empresa cualquier modificación que se produzca en los datos
aportados. De acuerdo con el Reglamente (UE) 2016/679 Vd. tiene derecho en cualquier momento a acceder, rectificar
o cancelar los datos referentes a su persona incluidos en nuestras bases de datos enviando un escrito, adjuntando
copia del DNI, a EL GRAN ESCAPE, S.L., C/ ENCOMIENDA 21 – 28004 MADRID
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
57
8.3 POLÍTICA DE USO Y CONTROL DE LAS TIC.
Con carácter general, el correo electrónico y las Tecnologías de la Información y las
Comunicaciones que la organización pone a tú disposición como usuario serán utilizados para el
desempeño de las labores propias de tu puesto de trabajo, quedando prohibido su uso para
finalidades que no guarden estricta relación con las funciones que tenga atribuidas. Así, se
establecen las siguientes NORMAS:
− Todos los usuarios deberán tener obligatoriamente clave de acceso al sistema.
− Los usuarios deberán mantener en secreto sus claves de acceso al sistema poniendo en
conocimiento del Responsable del Fichero cualquier hecho que pueda haber
comprometido el secreto.
− Bajo ninguna circunstancia deberá comunicar a otro usuario sus claves de acceso al
sistema de información.
− Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario
el único responsable de las consecuencias que pudieran derivarse de su mal uso,
divulgación o pérdida.
− Cambiar las contraseñas a petición del sistema.
− Cerrar o bloquear todas las sesiones al término de la jornada laboral y en el supuesto de
ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no
autorizados.
− No copiar en el equipo informático que la organización haya puesto a su disposición ni
en cualquier otro dispositivo informático, aquella información contenida en el sistema de
información a la que tenga acceso por motivo del desempeño de su trabajo, salvo que
medie autorización expresa del Responsable del Fichero.
− Asegurarse de que no quedan documentos pendientes de imprimir en la bandeja de
salida de la impresora.
− Guardar todos los ficheros con datos de carácter personal en los lugares indicados por el
Responsable del Fichero, a fin de facilitar la aplicación de las medidas de seguridad que
les correspondan.
− Los usuarios no podrán, salvo autorización expresa del Responsable del Fichero, instalar
cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni
en el ordenador empleado en el puesto de trabajo.
Queda expresamente prohibido:
− Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
− Intentar acceder o modificar el registro de accesos habilitado por el Responsable del
Fichero.
− Burlar las medidas de seguridad establecidas en el sistema informático, intentando
acceder a ficheros o programas a los que no tenga permiso para acceder.
− Utilizar Internet para tareas que no estén relacionadas directamente con las funciones
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
58
asignadas al usuario. La organización regulará las modalidades de acceso y las
restricciones o limitaciones del mismo. Queda prohibida la descarga de software o
ficheros de cualquier tipo desde Internet, sin consentimiento expreso de la organización,
aunque resulte de un acceso consentido por motivos de trabajo.
− El uso del correo electrónico para fines no relacionados con las funciones laborales
encomendadas. El empleo del nombre o apellidos de los trabajadores junto al dominio
de la organización en las direcciones de correo no significa la asignación por la
organización de un correo personal, esto se realiza únicamente por motivos organizativos
internos de asignación de áreas y puestos de trabajo.
− Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativo.
− Introducir contenidos en la red corporativa y/u ordenador personal que no guarden
relación con la actividad y objetivos de la entidad.
− Y, en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio
puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la
organización, o bien para la realización de actos que pudieran ser considerados ilícitos.
Y para que surta plenos efectos, firmo la presente recepción del documento,
en _, a de ___ de 20__.
Firmado: D/Dña. _______________________
D.N.I. ___
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
59
TRANSFERENCIAS INTERNACIONALES.
EL GRAN ESCAPE no realiza transferencias internacionales de datos personales que son
objeto de tratamiento.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
60
AUTORIZACIONES.
A continuación se muestran los documentos modelo que se van a utilizar para recoger
las autorizaciones de equipos y terminales móviles que se van a utilizar fuera de los
locales de EL GRAN ESCAPE.
El registro se detalla en el anexo H del presente documento.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
61
10.1. Salidas de Ordenadores, Tablets y Móviles
Nº Salida:
Nº de Equipo:
Fecha y hora de Salida:
Periodo de validez de la autorización:
Finalidad de la salida:
Medida de Seguridad adoptadas:
Destinatario de la información:
Observaciones:
_, de _ de 20
Yo, ____, con la autoridad suficiente para hacerlo, autorizo a
______, la salida del dispositivo identificado.
En consecuencia, se procederá al correcto y completo registro en el Libro de Salidas.
De acuerdo con lo aquí expuesto y para que así conste firmo la presente:
Fdo.: D/Dña. __________ Fdo.: D/Dña. ________________
Responsable Protección de Datos Autorizado
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
62
10.2. Salidas de Otros Soportes
Nº Salida:
Nº de Soporte:
Fecha y hora de Salida:
Periodo de validez de la autorización:
Finalidad de la salida:
Forma de Salida:
Medida de Seguridad adoptadas:
Destinatario de la información:
Observaciones:
_, de _ de 20
Yo, _______, con la autoridad suficiente para hacerlo, autorizo a
_, la salida del soporte identificado, el cual contiene datos de carácter personal.
En consecuencia, se procederá al correcto y completo registro en el Libro de Salidas.
De acuerdo con lo aquí expuesto y para que así conste firmo la presente:
Fdo.: D/Dña. _________ Fdo.: D/Dña. __________
Responsable Protección de Datos Autorizado
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
63
GESTIÓN DE INCIDENCIAS.
Se entiende por incidencia todo hecho o circunstancia que, al producirse, puede que
genere cualquier tipo de riesgo o daño que afecte a la seguridad, confidencialidad o
integridad de los datos personales contenidos en los sistemas de información.
PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESOLUCIÓN DE INCIDENCIAS
EL GRAN ESCAPE recogerá cuantas incidencias de seguridad se produzcan sobre los
datos que trata. Este procedimiento establece los mecanismos de actuación por parte
de los usuarios de los sistemas de información para la comunicación, gestión y respuesta
ante las incidencias.
La aplicación del presente Procedimiento se establece para todas las Áreas usuarias de
EL GRAN ESCAPE, empleados y colaboradores externos.
En caso de violación de la seguridad de los datos personales, el responsable del
tratamiento, en cumplimiento del artículo 33 del RGPD, la notificará a la autoridad de
control competente sin dilación indebida y, de ser posible, a más tardar 72 horas
después de que haya tenido constancia de ella, a menos que sea improbable que dicha
violación de la seguridad constituya un riesgo para los derechos y las libertades de las
personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de
72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
Cuando EL GRAN ESCAPE actúe como encargado del tratamiento notificará sin dilación
indebida al responsable del tratamiento las violaciones de la seguridad de los datos
personales de las que tenga conocimiento.
El Encargado del tratamiento avisará al Responsable del tratamiento en cuanto conozca
una brecha de seguridad. Esta comunicación será vía email con todo el detalle que tenga
en el momento del conocimiento.
La notificación deberá como mínimo:
a. describir la naturaleza de la violación de la seguridad de los datos personales,
inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de
datos personales afectados,
b. comunicar el nombre y los datos de contacto del delegado de protección de
datos o de otro punto de contacto en el que pueda obtenerse más información,
c. describir las posibles consecuencias de la violación de la seguridad,
d. describir las medidas adoptadas o propuestas por el responsable del tratamiento
para poner remedio a la violación de la seguridad de los datos personales,
incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos
negativos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
64
A) TIPOS DE INCIDENCIAS A REGISTRAR
EL GRAN ESCAPE intentará contemplar el sentido más amplio del concepto de
incidencia, entendiendo por tal cualquier situación contravenga las medidas descritas
en la normativa de seguridad, así como el mal funcionamiento de los medios físicos y
lógicos que pueda afectar a su disponibilidad y a la seguridad de la información que
gestionan.
A continuación se presenta una lista de incidencias que serán inexcusablemente
registradas. Esta lista no debe entenderse como limitativa, sino que podrá ser ampliada
con cualquier otro tipo de incidencias que hubieran quedado omitidas:
• Incidencias que afecten a la identificación y autenticación de los usuarios:
▪ Pérdida de confidencialidad de contraseñas.
▪ Asignación o modificación de derechos sobre herramientas de control de
acceso y utilidades con accesos privilegiados.
▪ Períodos de desactivación de las herramientas de seguridad.
• Incidencias que afecten a los derechos de acceso a los datos:
▪ Revisión de “logs” sobre intentos fallidos de accesos, accesos fuera de
horas de oficina, etc.
▪ Comunicación de los usuarios de sospechas de que alguien ha suplantado
su personalidad.
▪ Detección de puntos de acceso desatendidos y sin protección de pantalla
activada.
▪ Detección de contraseñas escritas en los puestos de trabajo.
▪ Revisión de los informes de seguridad.
▪ Revisión de los registros de acceso a datos especialmente protegidos.
• Incidencias que afecten a la gestión de soportes:
▪ Comunicación de pérdida de soportes.
▪ Comunicación de localización de soportes en lugares inadecuados.
▪ Errores de contenido en soportes recibidos.
• Incidencias que afecten a los procedimientos de copias de salvaguarda y
recuperación:
▪ Errores en los procesos de realización de copias de salvaguarda.
▪ Recuperaciones de datos realizadas.
• Cualquier otra de las observadas como consecuencia de la ejecución de los
controles definidos para garantizar el cumplimiento de lo dispuesto en el
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
65
Documento de Seguridad.
B) RESPONSABILIDADES
El Responsable del Tratamiento es el responsable de la redacción y mantenimiento de
este procedimiento; así como de su custodia y archivo.
Todos los usuarios de EL GRAN ESCAPE deben informar de cualquier incidencia
producida en materia de seguridad.
El Responsable del Fichero debe ocuparse del seguimiento de las incidencias en materia
de seguridad.
C) DESCRIPCIÓN DEL PROCEDIMIENTO.
Los usuarios de los sistemas de información, empleados y colaboradores externos,
deben participar en la implantación y seguimiento de la política de seguridad, aceptando
formalmente sus obligaciones.
Comunicación de incidencias de Seguridad por usuarios de servicios finales.
Cualquier usuario que tenga conocimiento directa o indirectamente de cualquier
incidencia de seguridad, actual o posible, lo comunicará con la mayor brevedad tal
incidencia y las acciones que se hubiesen tomado de urgencia.
En este momento se procede a incluirse en el registro y, si afecta a la seguridad de los
datos de carácter personal, marcarla como tal.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
66
D) REGISTRO Y DISTRIBUCIÓN DE LAS INCIDENCIAS.
ELABORADO POR FECHA APROBADO POR FECHA
Fecha y hora en que se ha producido:
Descripción de la incidencia:
Efectos producidos por la incidencia:
Persona que notifica la incidencia:
Si la incidencia afecta a ficheros de nivel alto y se han tenido que realizar
procedimientos de recuperación de datos:
Firma del responsable del fichero autorizando el
procedimiento de recuperación de datos:
Procedimientos realizados para la recuperación de datos:
Persona que ejecutó el proceso:
Datos restaurados:
Datos que han tenido que grabarse manualmente en el proceso de recuperación:
FIRMA OBLIGATORIA EN TODA INCIDENCIA REGISTRADA:
Fecha de notificación y firma de la persona que la
realiza:
/_/__
Firma del responsable de seguridad:
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
67
CONTROLES
Para verificar el cumplimiento de lo dispuesto en el presente Documento de Seguridad
se realizarán controles periódicos gestionados y coordinados por el Responsable de
Protección de Datos.
En el Anexo Q – CONTROLES PERIÓDICOS se halla una relación de los controles
periódicos realizados, las deficiencias detectadas e indicación, en su caso, de la fecha en
la que han sido solucionadas.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
68
RECEPCIÓN DOCUMENTO
EL GRAN ESCAPE, S.L., como Responsable del Fichero, recepciona el presente
Documento de Seguridad, aceptándolo en su totalidad y ordenando su inmediato
cumplimiento, tanto para el personal propio como ajeno que tenga o pueda tener
acceso a los datos de carácter personal que trata.
En Madrid, a 4 de mayo de 2018
Fdo. D. Jonathan Ruiz Rojas
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
69
ANEXOS
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
70
A. DESCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES
Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito
de los datos. Todos los datos que se solicitan y posteriormente se gestionan del
interesado, están soportados por el consentimiento previo del interesado y, en su caso,
por un contrato.
Se ha informado asimismo al interesado que los datos solicitados, en cada momento de
la relación comercial, son los mínimos necesarios para poder dar servicio al interesado.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
71
A.1. CANDIDATOS
Finalidad del tratamiento:
Gestión de la relación con los candidatos a un empleo en la empresa
Descripción de las categorías de candidatos y de las categorías de datos personales:
Candidatos:
Personas que desean trabajar para el responsable del tratamiento
Categorías de datos personales:
Los necesarios para gestionar los curriculum de posibles futuros empleados
▪ De identificación: nombre, apellidos, dirección postal, teléfonos, e-mail
▪ Características personales: estado civil, fecha y lugar de nacimiento,
edad, sexo, nacionalidad y otros excluyendo datos de raza, salud o
afiliación sindical
▪ Datos académicos
▪ Datos profesionales
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
No se contempla
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Un año desde la presentación de la candidatura
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
72
A.2. PERSONAL
Finalidad del tratamiento:
Gestión de la relación laboral con los empleados.
Descripción de las categorías de empleados y de las categorías de datos personales:
Empleados:
Personas que trabajan para el responsable del tratamiento
Categorías de datos personales:
Los necesarios para el mantenimiento de la relación laboral.
▪ De identificación: nombre, apellidos, número de Seguridad Social,
dirección postal, teléfonos, e-mail
▪ Características personales: estado civil, fecha y lugar de nacimiento,
edad, sexo, nacionalidad y porcentaje de minusvalía
▪ Datos académicos
▪ Datos profesionales
▪ Datos bancarios, para la domiciliación del pago de las nóminas
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
▪ Empresas o personas relacionadas directamente con el Responsable
▪ Agencia Tributaria
▪ Organismos de la Seguridad Social
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Los previstos por la legislación fiscal y laboral respecto a la prescripción de
responsabilidades
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
73
A.3. POTENCIALES CLIENTES
Finalidad del tratamiento:
Gestión de la relación con los potenciales clientes.
Descripción de las categorías de potenciales clientes y de las categorías de datos
personales:
Potenciales clientes:
Personas con las que se busca mantener una relación comercial como
clientes.
Categorías de datos personales:
Los necesarios para la promoción comercial de la empresa.
▪ De identificación: Nombre, apellidos, correo electrónico,
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
No se comunican datos.
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Un año desde el primer contacto
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
74
A.4. CLIENTES
Finalidad del tratamiento:
Prestarles el servicio, facturar, servicio postventa y fidelización.
Descripción de las categorías de clientes y de las categorías de datos personales:
Clientes:
Personas con las que se mantiene una relación comercial como clientes.
Categorías de datos personales:
Los necesarios para el mantenimiento de la relación comercial. Facturar, enviar
publicidad postal o por correo electrónico, servicio postventa y fidelización
▪ De identificación: Nombre, apellidos, DNI/Pasaporte, email
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
▪ Personas o empresas directamente relacionadas con el responsable del
tratamiento.
▪ Administración tributaria
▪ Bancos y entidades financieras
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Los previstos por la legislación fiscal respecto a la prescripción de
responsabilidades
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
75
A.5. PROVEEDORES
Finalidad del tratamiento:
Contratación de servicios.
Descripción de las categorías de proveedores y de las categorías de datos personales:
Proveedores:
Personas con las que se mantiene una relación comercial como proveedores
de productos y/o servicios
Categorías de datos personales:
Los necesarios para el mantenimiento de la relación comercial
▪ De identificación: Nombre, apellidos, correo electrónico,
▪ Datos bancarios: para la domiciliación de pagos
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
▪ Empresa o persona directamente relacionada con el Responsable
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Los previstos por la legislación fiscal respecto a la prescripción de
responsabilidades
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
76
A.6. VIDEOVIGILANCIA
Finalidad del tratamiento
Seguridad de las personas y bienes
Descripción de las categorías de interesados y de las categorías de datos personales:
Interesados:
Personas que accedan o intenten acceder a las instalaciones
Categorías de datos personales:
Imágenes
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales:
Cuerpos y fuerzas de seguridad del estado
Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos:
Un mes desde su grabación
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
77
B. PROCEDIMIENTOS DE GESTION DE USUARIOS.
B.1. ALTA, MODIFICACIÓN Y BAJA DE USUARIOS
B.1.1. Alta de usuarios
Se asigna una cuenta de correo.
B.1.2. Baja de usuarios
Se da de baja la cuenta de usuario.
B.1.3. Modificación de usuarios
No se modifican los permisos de usuarios.
B.1.4. Registros
No existe un registro de usuarios.
B.2. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
No existe un procedimiento.
El usuario cambia las claves periódicamente.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
78
B.3. MODELO DE SOLICITUD DE ALTA, MODIFICACIÓN, BAJA DE
USUARIO
Nombre y apellidos Cargo Departamento
Régimen
Trabajador interno Trabajador externo
Tipo de solicitud
Alta de usuario Modificación de permisos Baja de usuario
Motivo
Alta en la organización Baja en la organización
Cambio de cargo o puesto Concesión de permiso especial

Periodo
Fecha inicio: _ / / Fecha fin: / _ /
Autorización
Responsable de Protección Datos Responsable del trabajador
NOTA: para permisos extraordinarios deberá autorizar el responsable del departamento o unidad administrativa, o bien La Dirección
Accesos autorizados
Recurso Tipo de acceso Identificador usuario
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
79
C. RELACION DE USUARIOS.
C.1. USUARIOS CON ACCESO FÍSICO Y LOGICO
Nombre y Apellidos Funciones Información F. Alta
Jonathan Ruiz Rojas Dirección Clientes y proveedores.
Reservas, Pagos, emails, Control salas
11-4-17
Raúl García Cebrián auxiliar
administrativo/
controlador sala
Reservas, Pagos, emails, Control salas 11-4-17
C.2. USUARIOS CON ACCESO FÍSICO
Nombre y Apellidos Funciones F. Alta F. Baja
C.3. ALTA DE USUARIOS CON RESPECTO VERSION ANTERIOR
Nombre y Apellidos: Funciones Información F. Alta
Kauri Ximon Jaúregui Arias auxiliar
administrativo/
controlador sala
Reservas, Pagos, emails, Control salas 14-9-19
C.4. BAJAS DE USUARIOS CON RESPECTO VERSION ANTERIOR
Nombre y Apellidos: Funciones F. Alta F. Baja
Luis Sánchez Martín Reservas, Pagos, emails, Control salas 8-6-18
Chaimaa Bouzouz
Mettouche
Reservas, Pagos, emails, Control salas 21-7-18
Franco Matías Rakela
Araneda
Reservas, Pagos, emails, Control salas 15-9-18
Ana Medina Vilalta Reservas, Pagos, emails, Control salas 15-9-18
Aluhe Mercedes Benítez Reservas, Pagos, emails, Control salas 22-9-18
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
80
C.5. USUARIOS EXTERNOS
Nombre y Apellidos: Empresa Funciones F. Alta F. Baja
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
81
D. RELACION DE ADMINISTRADORES.
D.1. DE SISTEMAS
Nombre y Apellidos: Jonathan Ruiz Rojas
Empresa:
Acceso: Presencial y remoto
Fecha de Alta: 11-4-2017
Fecha de Baja:
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
82
E. INFRAESTRUCTURA TECNOLÓGICA.
E.1. ENTORNO DE RED
Existe una red Orange doméstica.
E.2. COMUNICACIONES
Accede a internet, a través de redes públicas seguras, para acceder a datos de carácter
personal d clientes y proveedores.
E.3. APLICACIONES INFORMÁTICAS
Correo electrónico – Outlook. Toda la información de reservas queda almacenada en el
correo electrónico.
Windows Office – documentación diversa de uso diario.
E.4. EQUIPOS INFORMATICOS
E.4.1. Relación de Alta de Ordenadores.
E.4.2. Relación de Baja de Ordenadores.
E.4.2. Relación de Servidores.
Id. Marca Modelo s/n F. Alta F. Baja Ubicación/información
Id. Tipo Marca Modelo s/n F. Alta F. Baja Asignado a
4 Tablet APPLE MD510FD/A DMPJDADFF182 4-11-19 Todos los
usuarios
Id. Tipo Marca Modelo s/n F. Alta F. Baja Asignado a
1 Portátil Packard Bell ze7 nubxreboo12083a54d7614 11-4-17 4-11-19 Jonathan Ruiz
2 Portátil Packard Bell ze7 nubxreboo12083a54d7614 11-4-17 4-11-19 Raúl García
3 Portátil Packard Bell ze7 nubxreboo12083a54d7614 11-4-17 4-11-19 Todos los
usuarios
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
83
E.5. PROCEDIMIENTO DE ACTUACIÓN EN LA BAJA DE EQUIPOS
Si la baja es temporal, por desasignación de usuario, se formateará.
Si la baja es definitiva se formateará, se extraerá el disco duro y se destruirá.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
84
F. INVENTARIO DE SOPORTES.
F.1. OTROS SOPORTE
Tipo de soporte (*)
Marca/modelo/nº serie (si procede)
Número de referencia
Fecha de creación
Fecha de destrucción (en su caso)
Tipo de datos que contiene
Fichero/s de donde proceden los datos
Área / Local de ubicación
F.2. REGISTRO DE SOPORTES DESECHADOS
Nº Soporte Fecha Medidas aplicadas
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
85
G. PROCEDIMIENTO DE COPIAS DE SEGURIDAD Y
RECUPERACIÓN DE DATOS.
Al quedar almacenada toda la información en el correo electrónico, es el proveedor de
este servicio quién realiza las copias de seguridad.
Identificación:
Descripción:
Frecuencia:
Manual o por software:
Copia Cifrada:
Procedimiento de recuperación:
Soporte de Almacenamiento:
Lugar Físico de Custodia:
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
86
H. REGISTROS DE SALIDAS.
H.1. SALIDAS DE ORDENADORES
ORDEN
SALIDA FECHA NOMBRE EQUIPO
1
2
3
4
H.2. SALIDAS DE SOPORTES
ORDEN
SALIDA FECHA NOMBRE EQUIPO
1
2
3
4
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
87
I. REGISTRO DE DERECHOS EJERCIDOS POR EL INTERESADO.
Nº de entrada:
Fecha entrada:
Medio (carta/email):
Derecho solicitado:
Atendido por:
Procede (Si/No):
Fecha respuesta:
Observaciones:
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
88
J. REGISTRO DE INCIDENCIAS.
Se adjuntarán las fichas de incidencias (ver apartado 11 del documento).
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
89
K. REGISTROS DE PRUEBAS.
No se hacen pruebas con datos reales de carácter personal.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
90
L. OBLIGACIONES Y FUNCIONES DEL PERSONAL.
Los documentos firmados se adjuntan en este apartado o se han archivado con el resto
de documentación de protección de datos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
91
M. CONSENTIMIENTOS
M.1. Cesión De Datos de los empleados.
Los documentos firmados se adjuntan en este apartado o se han archivado con el resto
de documentación de protección de datos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
92
M.2. Gestión de CV en Procesos de Selección.
Los documentos firmados se adjuntan en este apartado o se han archivado con el resto
de documentación de protección de datos.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
93
N. REGISTRO DE ENCARGADOS DE TRATAMIENTO
N.1. Encargados de Tratamiento de Datos por cuenta de un
Tercero
ENCARGADO TRATAMIENTO F. ALTA F.BAJA CONTRATO
FIRMADO
PERESA, S.L. Gestoría Laboral y Fiscal. 11-4-17
D. IGNACIO SANCHEZ
LAMPREAVE
Asesoría Protección de Datos 11-4-17
N.2. Encargados de Tratamiento de Datos sin cesión
(Confidencialidad)
ENCARGADO TRATAMIENTO F. ALTA F.BAJA CONTRATO
FIRMADO
SOLUCIONES
CORPORATIVAS IP, S.L.
Hosting Web y Dominios. 11-4-17
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
94
O. CRITERIOS DE ARCHIVO DE DOCUMENTACIÓN
O.1. Criterios de Archivo
En EL GRAN ESCAPE el archivo de los soportes o documentos se ha realizado de acuerdo
con criterios que garantizan la correcta conservación de los documentos, la localización
y consulta de la información y posibilitan el ejercicio de los derechos de oposición al
tratamiento, acceso, rectificación y cancelación.
O.2. Control de Acceso
EL GRAN ESCAPE ha establecido mecanismos para evitar que un usuario pueda acceder
a recursos con derechos distintos de los autorizados (mediante llaves presencia física),
de forma que solo el personal autorizado para ello en este documento de seguridad
podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme los
criterios establecidos en el anexo REGISTRO DE USUARIOS del presente documento de
seguridad.
El acceso por parte de otras personas está estrictamente prohibido, y únicamente podrá
producirse mediante petición firmada del interesado y autorización por escrito del
Responsable la persona en la que se delegue esta función, quien se encargará de
archivar todas las solicitudes.
O.3. Tratamiento de documentos en soporte papel.

Mesas limpias. Procurar no mantener documentos al alcance de personas
ajenas a la empresa. Al finalizar la jornada deben quedar todos archivados.
Destrucción segura. Los usuarios se asegurarán que los documentos que
contengan datos confidenciales, una vez dejen de ser necesarios, deberán ser
destruidos, preferentemente mediante el uso de destructoras de papel.
Oficina sin papel. Reduce la información en soporte papel que manejes.
Escanea y destruye todo documento del que no vayas a necesitar original.
Reutilización de papel. Si se reutiliza papel comprobar previamente que en la
cara opuesta no existe información considerada confidencial.
Impresiones seguras. Imprime datos o documentos que tengas en formato
electrónico sólo cuando sea estrictamente necesario.
Documentos abandonados. Revisa periódicamente las bandejas de entrada y
salida del fax e impresoras compartidas para evitar que se acumulen
documentos a los que puede acceder cualquiera.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
95
P. POLITICA DE COOKIES
EL GRAN ESCAPE en cumplimiento del artículo 22 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSICE), establece lo siguiente:

Utiliza dispositivos de almacenamiento y recuperación de datos en equipos
terminales de los destinatarios, a condición de que los mismos hayan dado su
consentimiento después de que se les haya facilitado información clara y
completa sobre su utilización, en particular, sobre los fines del tratamiento de
los datos, con arreglo a lo dispuesto en el Reglamento (UE) 2016/679, de
Protección de Datos de Carácter Personal.
En el acceso a su página web, EL GRAN ESCAPE informa a los usuarios de su
Política de Cookies y les da la posibilidad de la aceptación de la misma.
En dicho documento se informa de conceptos referentes a las cookies, así como
la relación de cookies utilizadas y la función de cada una de ellas.
EL GRAN ESCAPE facilita a los usuarios los parámetros adecuados del navegador
o de otras aplicaciones, siempre que aquél deba proceder a su configuración
durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin
de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el destinatario.
EL GRAN ESCAPE, S.L.
Documento de Protección de Datos
96