POLÍTICA DE PRIVACIDAD
1.- INTRODUCCIÓN
1.1 – Objetivo
El objetivo de la presente política es definir el compromiso que los/as profesionales de la estructura del Ilustre Colegio de Abogados de Madrid, en adelante ICAM o Colegio, deben cumplir en relación con el tratamiento de datos de carácter personal en el desempeño de sus funciones en o para el Colegio, y el marco en que se establece dicho compromiso.
1.2 – Ámbito de aplicación
Esta política es de aplicación a todos/as los/as profesionales que se integran en la estructura del Colegio, porque desempeñan cargos o son personal del Ilustre Colegio de Abogados de Madrid, con acceso a la información de la que es responsable el Colegio, y se puede también hacer extensiva, de conformidad con los acuerdos de encargo de tratamiento que se suscriban, a cualquier otro profesional vinculado con el ICAM, colaborador habitual o puntual, cuya actuación pueda afectar de alguna manera a la responsabilidad o reputación del Colegio.
1.3 – Normativa
El presente documento está basado en el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, -RGPD-) y la normativa nacional vigente en materia de protección de datos personales.
El marco normativo aplicable a la materia y que las personas sujetas a esta Política deben conocer además del citado RGPD, viene determinado por:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD).
- Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno;
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico;
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica;
- Ley 6/2023, de 30 de marzo, de Archivos y Documentos de la Comunidad de Madrid.Principios del tratamiento de datos y de la seguridad de la información.
1.4 – Principios del tratamiento de datos y de la seguridad de la información.
El Colegio, su estructura orgánica y plantilla tratarán la información y los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos y seguridad de la información:
- Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con el/la interesado/a.
- Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
- Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Limitación del plazo de conservación: los datos de carácter personal personales serán mantenidos de forma que se permita la identificación de los/as interesados/as durante no más tiempo del necesario para los fines que justificaron su tratamiento.
- Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél.
- Responsabilidad proactiva: el Colegio y su estructura serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que permitan estar en condiciones de demostrar dicho cumplimiento.
- Atención de los derechos de los/as afectados/as: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los/as afectados/as, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
- Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles orgánicos y directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del Colegio para conformar un todo coherente y eficaz.
- Responsabilidad diferenciada: en los sistemas de información responsabilidad del Colegio se observará el principio de responsabilidad diferenciada de forma que se delimiten las diferentes responsabilidades y roles.
- Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
- Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que el Colegio desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata el Colegio. El análisis y gestión de riesgos son parte esencial del proceso de protección de datos y de seguridad de la información del Colegio, de forma que permita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo el Colegio tendrá́ en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
- Proporcionalidad: el Colegio establecerá medidas de protección, detección y recuperación de forma que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.
- Proceso de verificación: el Colegio implantará un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
2.- OBLIGACIÓN DE CONOCER Y DE CUMPLIR
Todo profesional del ICAM debe conocer la presente Política y actuar conforme a los principios y comportamientos definidos, comunicando a su responsable directo o al departamento de Cumplimiento dentro del Área de Secretaría General cualquier duda respecto a su cumplimiento o cualquier indicio de actuación en contra de este.
La presente Política, así como los procedimientos posteriores que de la misma pudieran emanar se encontrarán permanentemente actualizados en la Intranet para ser consultados posteriormente cuando se requiera.
Todos/as los/as directores/as tienen obligación de velar por el cumplimiento de la Política en sus áreas, liderar su cumplimiento, resolver las dudas o inquietudes que les transmitan los/as profesionales, y establecer los mecanismos que aseguren su cumplimiento contando para todo ello con el asesoramiento del departamento de Cumplimiento.
Las dudas sobre seguridad de la información y protección de datos se podrán trasladar a el/la Responsable de Seguridad de la Información, que, a su vez, podrá trasladarlas al Delegado de Protección de Datos.
El incumplimiento de las normas contenidas en la presente política estará sujeto a la potestad disciplinaria y sancionadora del ICAM, con sujeción a los principios y reglas previstas por la legislación vigente. Por lo tanto, cualquier duda significativa se trasladará a el/la Responsable de Seguridad de la Información y cualquier incumplimiento relacionado deberá ponerse en conocimiento de el/la Responsable de Cumplimiento del ICAM. La gestión de dudas e incumplimientos se realizará aplicando rigurosamente los principios de independencia y confidencialidad.
3.- COMPROMISO DE CONFIDENCIALIDAD ESCRITO
En el marco de la relación que a los/as profesionales de la estructura del Colegio con el mismo, aquellos se comprometerán expresamente, en un documento que firmarán, a:
- No revelar a persona alguna ajena al ICAM, sin su consentimiento, la información a la que haya tenido acceso en el desempeño de sus funciones en el Colegio, excepto en el caso de que ello sea necesario para dar debido cumplimiento a las obligaciones propias o de la organización, impuestas por las leyes o normas que resulten de aplicación, o sea requerido para ello por mandato de la autoridad competente con arreglo a Derecho.
- Utilizar la información a que alude el apartado anterior, únicamente en la forma que exija el desempeño de sus funciones en el ICAM y no disponer de ella de ninguna otra forma o finalidad. Está prohibida la copia y envío de cualquier información obtenida o generada como consecuencia del trabajo para fines distintos de éste.
- No utilizar en forma alguna, cualquier otra información que hubiese podido obtener prevaliéndose de su condición de profesional de la estructura del Colegio, y que no sea necesaria para el desempeño de sus funciones en el ICAM.
- Cumplir en el desarrollo de sus funciones en el ICAM con la normativa vigente, nacional y comunitaria, relativa a la protección de datos de carácter personal y, en particular, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) disposiciones complementarias, normativa nacional aplicable, o cualquier otra norma que las sustituya en un futuro.
- Cumplir la Políticas de Seguridad de la Información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, los procedimientos que establezca y le comunique la dirección de la Corporación.
- No hacer un uso personal de los sistemas y equipos de información titularidad del Colegio que interfiera con sus funciones en la estructura del Colegio, de los/as demás trabajadores/as o de la Corporación.
- En internet, adoptar las precauciones oportunas para proceder a la descarga de archivos, asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
- Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa, la relación que le une con el ICAM.
- Asumir las consecuencias del incumplimiento de los anteriores compromisos, conociendo que la infracción de los deberes adquiridos puede dar lugar a sanciones conforme al RGPD y a sanción disciplinaria laboral o deontológica, si corresponde, y a responsabilidad civil y penal.
4.- USO DE MEDIOS DIGITALES DEL COLEGIO POR LOS/AS EMPLEADOS/AS
Los/as trabajadores/as deberán cumplir las políticas o instrucciones de uso aceptable o de seguridad de la información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, que establezca y le comunique la dirección de la Corporación. No deberán hacer un uso personal de los sistemas y equipos de información titularidad del Colegio que interfiera con el trabajo del empleado/a, de los/as demás trabajadores/as o de la Corporación. Los/as trabajadores/as serán informados de que no se permite el acceso a páginas Web no ligadas al trabajo como páginas de chats, redes sociales no profesionales, juegos, juego de azar, viajes, compras por Internet, venta de acciones, de contenido ilegal o de carácter pornográfico etc.. También está prohibido expresamente la difusión y descarga de material ilegal, vulnerador de derechos, así como el uso, copia o envío ilegal de software o material que está protegido por leyes protectoras de la propiedad intelectual o industrial.
En internet, deberán adoptar las precauciones oportunas antes de proceder a la descarga de archivos asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
El Colegio podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los/as trabajadores/as a los efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
Por todo ello, ningún/a trabajador/a del ICAM puede esperar que sus comunicaciones con medios del Colegio o uso de los sistemas informáticos del Colegio sean confidenciales ni tampoco privados, estando sometidos al control del empleador/a.
El/La trabajador/a será informado que en los equipos y sistemas informáticos propiedad de la Corporación se podrán instalar aplicaciones que analicen el tráfico enviado y recibido de Internet y lo permita o prohíba en función de una serie de reglas definidas por los administradores de los sistemas.
5.- DECÁLOGO DE BUENAS PRÁCTICAS
Los principios y obligaciones básicas de los/as empleados/as se recogerán en un documento denominado Decálogo de Buenas Prácticas de Protección de Datos, que será difundido periódicamente entre los/as empleados/as, así como actualizado.
6.- POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información se rige por la Política de Seguridad de la Información del ICAM, acorde con las medidas de seguridad del Esquema Nacional de Seguridad, y una serie de documentos, procedimientos y medidas de desarrollo de la misma (Normativa de Seguridad; Procedimientos de Seguridad; Procesos de Autorización; Medidas de Seguridad del Marco Operacional y de Protección), que las personas responsables de su aplicación deben conocer.
La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
El personal del Colegio recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios del Colegio.
7.- SISTEMA DOCUMENTAL DE PROTECCIÓN DE DATOS
El Sistema Documental de Protección de Datos del Ilustre Colegio de Abogados de Madrid recoge de forma ordenada los documentos que sobre la protección de datos de carácter personal genera el Colegio de Abogados de Madrid como responsable del tratamiento de datos de carácter personal y como encargado del tratamiento, para el cumplimiento del Reglamento General de Protección de Datos (RGPD), de la normativa nacional y la que pueda dictarse en su desarrollo.
El Colegio como responsable de tratamientos de datos de carácter personal, y encargado de otros tratamientos, es responsable del cumplimiento de los principios del RGPD y de la LOPDyGDD y de las obligaciones que le incumben, y ha de ser capaz de demostrarlo, de acuerdo con el principio de responsabilidad proactiva.
El Sistema Documental de Protección de Datos tiene la finalidad de poder demostrar el cumplimiento del RGPD.
El Sistema Documental de Protección de Datos está bajo la custodia del Departamento de Control de Gestión, y, en particular, de el/la Responsable de Seguridad de la Información.
8.- TRATAMIENTO DE DATOS PERSONALES
8.1- Contenido
Se entiende por “datos personales” toda información sobre una persona física identificada o identificable (“el/la interesado/a”). Se considera persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo, un nombre, un número de identificación (ej. DNI, número de la Seguridad Social), datos de localización (ej. domicilio), un identificador en línea (ej. cuentas de correo electrónico), o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (ej. datos biométricos). En adelante, “Datos Personales”.
Ejemplos de Datos Personales serían el nombre completo, número de DNI o pasaporte, dirección profesional o personal, nacionalidad, profesión, datos financieros, de salud, genéticos, biométricos, de una persona física identificada o identificable.
8.2 – Alcance
Únicamente aplica a las personas físicas, ya que la citada normativa no resultaría aplicable a los datos de las personas jurídicas.
8.3 Formato de los datos
Para que los datos se consideren como de carácter personal, es indiferente el formato en el que se faciliten, ya sea formato electrónico/digital de cualquier tipo (Excel, Word, Access, PowerPoint, aplicación, archivo de audio o vídeo, etc.), o formato físico (documento en papel, fotografías, etc.).
Las medidas de seguridad a implementar variarán en función del formato en que los datos estén disponibles.
8.4 – Registro de Actividades de Tratamiento – Uso de los datos
El Colegio mantendrá actualizado el Registro de las Actividades de Tratamiento con datos de carácter personal de las que sea responsable, que incluirá toda la información a la que se refiere el artículo 30 del RGPD.
Las finalidades que habilitan el tratamiento de datos de carácter personal son las contenidas en cada actividad de la recogida en el Registro de Actividades del Tratamiento.
El Registro de Actividades de Tratamiento se mantendrá continuamente actualizado y podrá consultarse en la página web del Colegio, de conformidad con lo dispuesto en la LOPD y GDD.
Cualquier duda sobre las finalidades del tratamiento se planteará a el/la Responsable de Seguridad, que podrá, a su vez trasladarla al Delegado de Protección de Datos.
Los datos personales han de ser adecuados, pertinentes y no excesivos con relación a la finalidad para la que se recogen.
No se recabarán más datos de los necesarios y no se utilizarán datos personales recogidos para finalidades distintas y/o incompatibles con aquéllas para las que se recogieron.
8.5 – Habilitación para el tratamiento de los datos. Recogida de datos. Obtención del Consentimiento
Se considera tratamiento cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Se entiende que existe tratamiento de Datos Personales desde que se conocen o se dispone de acceso de visualización a dichos datos, incluso si es un acceso potencial (es decir, se acceda o no, desde el momento que se puede acceder, se está produciendo tratamiento de Datos Personales).
La habilitación o legitimación para el tratamiento de datos personales se fundará en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
Las concretas habilitaciones para cada una de las actividades de tratamiento que lleva a cabo el Colegio son las recogidas en el Registro de Actividades del Tratamiento.
El Ilustre Colegio de Abogados de Madrid no recabará datos de carácter personal de los usuarios sin conocimiento del interesado/a. La inclusión de datos en formularios será voluntaria y debidamente anunciada, mostrándose las pertinentes cláusulas informativas conformadas en dos capas. Las capas informativas y sus niveles de detalle tendrán el contenido indicado por la Guía para el Cumplimiento del Deber de Informar (2018) editada por la Agencia Española de Protección de Datos.
Siempre que se recaben datos se informará por escrito, o mediante locución si se recaban telefónicamente, con la primera capa de información básica, en forma de tabla, con los epígrafes de “Responsable”, “Finalidades”, “Legitimación”, “Cesiones/Destinatarios” y “Derechos”, donde se informará de que se pueden ejercer en derechosdatos@icam.madrid
Se añadirá, en su caso, el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado/a. También se indicará la fecha de la versión de la cláusula y habrá una extensión de información (+info), con dos enlaces, uno a la segunda capa detallada, con información adicional, otro a un extracto del Registro de Actividades del Tratamiento.
Los datos de carácter personal que se pudieran recabar directamente del interesado/a de forma informada quedarán incorporados a la correspondiente actividad de tratamiento titularidad del ICAM.
Cuando la legitimación del tratamiento se base en el consentimiento y haya que recabar éste se podrán utilizar los métodos establecidos en los Procedimientos de Obtención y Conservación del Consentimiento, que forman parte del Sistema Documental de Protección de Datos de Carácter Personal del Ilustre Colegio de Abogados de Madrid, y se identificará por actividades del tratamiento los sistemas utilizados en cada caso, guardando el debido registro de la prestación del consentimiento, de los datos proporcionados y de las cláusulas informativas mostradas.
8.6 – Forma de acceso
Para considerar que se está realizando tratamiento de Datos Personales, es indiferente la forma en la que se tenga acceso a los mismos (ya sea en formato electrónico/digital o en formato físico), de modo que se deberá cumplir con el procedimiento establecido en todos los casos. Del mismo modo, se está ante tratamiento de Datos Personales si el acceso a los mismos se produce incorporando dichos datos a los sistemas informáticos o instalaciones del ICAM.
8.7 – Nivel de seguridad
Los/as profesionales de la estructura del Colegio deben conocer y aplicar las medidas de seguridad, conformes con el Esquema Nacional de Seguridad, que se recogen en el Registro de Actividades del Tratamiento y en el sistema de seguridad de la información.
Para conocer más acerca de los niveles de seguridad en materia de protección de datos personales se deberá contactar con el/la Responsable de Seguridad de la Información.
8.8 – Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet, documento que se integra en el Sistema Documental de Protección de Datos de Carácter Personal del Ilustre Colegio de Abogados de Madrid, concreta el procedimiento por el que se rige el Ilustre Colegio de Abogados de Madrid (el Colegio o ICAM) en el tratamiento de datos de carácter personal a través de la página web e internet y de la privacidad de estos.
En dicha Política se integrará también el tratamiento de cookies.
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet deberá ser conocida por las personas de la estructura del Colegio y se publicará para general conocimiento en la página web.
8.9 – Periodo de conservación de datos Bloqueo de los datos. Patrimonio Documental
Según la normativa de protección de datos, los datos personales se conservarán hasta que sean necesarios para la finalidad del tratamiento. En el Registro de Actividades de Tratamiento se consignan los plazos o criterios de cada concreta actividad.
Posteriormente se conservarán debidamente bloqueados. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada.
Para la eliminación de documentos con datos personales, que no sean copias auxiliares, las personas de la estructura del Colegio consultarán previamente con el/la Responsable de Seguridad sobre el procedimiento a seguir.
El Colegio en el manejo de documentos se rige por la Ley 4/1993, de 21 de abril, de Archivos y Patrimonio Documental de la Comunidad de Madrid (LAPDCM). De conformidad con su artículo 5 forman parte del Patrimonio Documental madrileño los documentos de cualquier época producidos, conservados o reunidos por los colegios profesionales. Los documentos del Patrimonio Documental madrileño, según el art.31 LAPDCM, son inalienables, imprescriptibles e inembargables, y de acuerdo con el artículo 34 LAPDCM no pueden ser destruidos “salvo en los supuestos y mediante los procedimientos que reglamentariamente se dispongan, y siempre teniendo en cuenta los diferentes valores de estos documentos y sus distintos plazos de vigencia”.
8.10 – Destinatarios/as de los datos
Los datos podrán ser serán cedidos o comunicados a otros destinatarios según las habilitaciones previstas en el RGPD. Las concretas cesiones o comunicaciones son las que se recogen en el Registro de Actividades de Tratamiento para cada actividad y todas ellas deben figurar en las cláusulas informativas y de recogida del consentimiento cuando éste sea el fundamento legitimador del tratamiento.
8.11- Derechos de los/as interesados/as
Los derechos reconocidos en los artículos 15 a 22 RGPD podrán ejercerse directamente o por medio de representante legal o voluntario. Los/as titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.
Cualquier persona tiene derecho a obtener confirmación sobre si el Colegio de Abogados de Madrid trata datos personales que le concierne, o no.
Las personas interesadas tienen derecho a acceder a sus datos personales y a obtener una copia de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.
En determinadas circunstancias previstas en el artículo 18 RGPD, los/as interesados/as podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente el Colegio los conservará para el ejercicio o la defensa de reclamaciones.
Como consecuencia de la aplicación del derecho a la supresión u oposición al tratamiento de datos personales en el entorno on-line, los/as interesados/as tienen el derecho al olvido según la jurisprudencia que el Tribunal de Justicia de la UE.
Los/as interesados/as podrán oponerse al tratamiento de sus datos con fines de mercadotecnia, incluida la elaboración de perfiles. En particular, los colegiados tienen derecho a que el Colegio indique gratuitamente respecto de los sus datos personales que se publican en la ventanilla única que no pueden utilizarse para fines de publicidad o prospección comercial.
En virtud del derecho a la portabilidad, los/as interesados/as tienen derecho a obtener los datos personales que les incumben en un formato estructurado de uso común y lectura mecánica y a transmitirlos a otro responsable.
Todo interesado/a tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, salvo las excepciones previstas en el art.22.1 RGPD. El Colegio no trata datos adoptando decisiones automatizadas sin intervención humana.
El/la interesado/a tiene el derecho a la supresión de sus datos, por la desaparición de la finalidad que motivó el tratamiento o la recogida, por revocación del consentimiento cuando sea éste el que legitime el tratamiento, o por el resto de los motivos contenidos en el artículo 17 RGPD. La supresión definitiva se realizará, en cualquier caso, previo bloqueo de los datos, y de conformidad con lo establecido en la Ley 4/1993, de 21 de abril, de Archivos y Patrimonio Documental de la Comunidad de Madrid
8.12 – Atención de derechos de los/as interesados/as
El Colegio de Abogados de Madrid tiene establecido un procedimiento sencillo de ejercicio de los derechos de protección de datos de carácter personal, disponiendo una dirección de correo electrónico para el ejercicio de los derechos derechosdatos@icam.madrid, definido en el documento Procedimiento para la atención del ejercicio de derechos que todos/as los/as empleados/as del Colegio deben conocer y aplicar.
Cualquier petición de ejercicio de derechos de protección de datos recibida en el Colegio por cualquier vía o canal se remitirá por los/as empleados/as del colegio a derechosdatos@icam.madrid Esta norma se incluirá en el Decálogo de Protección de Datos para empleados/as.
Se responderá a las solicitudes de los/as interesados/as, por correo electrónico con confirmación de lectura si la solicitud se ha recibido por ese medio o por correo postal certificado con acuse de recibo si la solicitud se ha recibido por medios diferentes al correo electrónico, sin dilación indebida y a más tardar en el plazo de un mes.
La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el/la afectado/a recae sobre el Colegio por lo que se conservará copia de todas las respuestas y de la justificación del envío y recepción.
8.13 – Gestión de brechas de seguridad
El Procedimiento para la gestión de brechas de seguridad, que se integra en el Sistema Documental de Protección de Datos, se establece con la finalidad de la correcta identificación, registro y resolución, con minimización de daños, de las brechas de seguridad que afecten a datos de carácter personal.
La gestión de la brecha se realizará según la Política de Seguridad de la Información del Colegio que rige en el Colegio y los documentos que la desarrollan, que contemplan los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre la información no se materialicen y, si ello sucede, no afecten gravemente a la información que maneja o los servicios que se prestan por la Corporación.
La existencia de ese Procedimiento de Gestión de Brechas de Seguridad se hará constar en el Decálogo de Buenas Prácticas en Protección de Datos dirigido a los/as empleados/as del Colegio, a los que se instruirá en cómo actuar ante brechas de seguridad y de las responsabilidades que les correspondan.
8.14 – Transparencia y acceso a la información pública
El Colegio está sometido a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. De conformidad con la Guía de Transparencia (2016), editada por el Consejo de Transparencia y Buen Gobierno y Unión Profesional, la publicidad activa alcanza:
- A las funciones que desarrolla la Corporación, la normativa que les sea de aplicación, así como a su estructura organizativa. A estos efectos, incluirán un organigrama actualizado que identifique a los/as responsables de la Junta de Gobierno y su perfil y trayectoria profesional.
- La siguiente información económica:
- Contratos: Deberán ser objeto de publicación, de oficio, los contratos sujetos a derecho administrativo, previstos en la Ley de Contratos del Sector Público, cuyo objeto sea la proyección del ejercicio de una función pública. Respecto de estos contratos, y siguiendo lo expresamente previsto por la ley de transparencia, se publican los siguientes aspectos:
- Objeto
- Duración
- Importe de licitación y de adjudicación
- Procedimiento utilizado para su celebración e instrumentos de publicidad
- Número de licitadores y la identidad del adjudicatario
- Modificaciones, desistimiento y renuncia.
- Convenios: Deberán publicarse los convenios firmados por la corporación en ejercicio de las funciones públicas que le hayan sido conferidas. Dicha publicidad incluirá́ los siguientes conceptos:
- Partes firmantes
- Objeto
- Plazo de duración
- Modificaciones realizadas
- Obligaciones, incluidas también en caso de que las hubiera, las económicas derivadas de los mismos.
- Encomiendas de gestión: En caso de que una corporación de derecho público, en ejercicio de las funciones públicas que desempeñe, realice una encomienda de gestión, esta deberá́ ser publicada con los siguientes datos:
- Objeto
- Presupuesto
- Duración
- Obligaciones económicas
- Subcontrataciones que eventualmente se realicen con mención de los adjudicatarios, procedimiento seguido para la adjudicación y su importe.
La publicación de esta información al amparo de la Ley de Transparencia y Buen Gobierno se hará teniendo en cuenta el derecho a la protección de datos. Si hubiera datos de categorías especiales de datos (según el art.9 RGPD) no se publicarán éstos.
Respecto a la publicación de información de carácter personal contenida en los contratos y convenios que sean publicados, debe atenerse a lo dispuesto en el criterio interpretativo nº 4 de 2015 firmado conjuntamente por el Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos (no publicación del número de DNI ni de la firma manuscrita). Siempre que se ponga en el convenio publicado algún tipo de mención de que el convenio ha sido firmado.
En cuanto al derecho de acceso a la información pública referida al ejercicio de funciones públicas, si la información solicitada contuviera datos de categorías especiales (art. 9 RGPD: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) el acceso únicamente se podrá́ autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado/a, a menos que dicho afectado/a hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si el acceso afecta a datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá́ autorizar en caso de que se cuente con el consentimiento expreso del afectado/a o si aquel estuviera amparado por una norma con rango de Ley.
Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá́ el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del Colegio.
Cuando la información solicitada se refiera a funciones públicas del Colegio y no contuviera datos especialmente protegidos, se concederá́ el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los/as afectados/as cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.
Para la realización de la citada ponderación, se tomará particularmente en consideración los siguientes criterios:
- El menor perjuicio a los/as afectados/as derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
- La justificación por los/as solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
- El menor perjuicio de los derechos de los/as afectados/as en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquellos/as.
- La mayor garantía de los derechos de los/as afectados/as en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.
9.- GOBIERNO DEL MODELO
9.1 – Titularidad
La aprobación de este documento corresponde a la Junta de Gobierno. La elaboración y evolución del documento corresponde al departamento de Cumplimiento.
9.2 – Interpretación
Corresponde a Secretaría General la interpretación de este documento.
9.3 – Validez y revisión
Este modelo entrará en vigor desde la fecha de su aprobación y publicación. Su contenido será objeto de revisión periódica, realizándose los cambios o modificaciones que se consideren convenientes.
10.- CONTROL DE VERSIONES DEL DOCUMENTO
Versión | Nombre del fichero | Fecha |
---|---|---|
1.0 | Política de privacidad | 21/3/2019 |
1.1 | 1.3 Normativa: Actualización de la referencia al RD que regula el Esquema Nacional de Seguridad y La Ley de Patrimonio Documental de la Comunidad de Madrid | 04/04/2024 |