POLÍTICA DE CONSERVACIÓN DE DATOS PERSONALES
Codigo: PL Edicion:01 Fecha:17-01-2109
INDICE
- Objeto y alcance…………………………………………………………………………………………. 2
- Definiciones……………………………………………………………………………………………….. 2
- Desarrollo…………………………………………………………………………………………………… 3
- Plazos de conservación……………………………………………………………………………….. 6
- Objeto y alcance
La finalidad de la presente Política de Conservación de Datos (la “Política”) es establecer la actuación a realizar en y por ONECHA TREJO, S.L. (la “Sociedad”), en su condición de responsable del tratamiento, según su caso, en relación con la conservación y supresión de los datos de carácter personal que son objeto de tratamiento por parte de la Sociedad, a los efectos de cumplir con las obligaciones impuestas en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (“RGPD”) y por su normativa de desarrollo, y cuya finalidad es tratar los datos personales facilitados única y exclusivamente durante los plazos legalmente establecidos.
Esta Política es aplicable a la Sociedad, a todo el personal que se halle bajo su ámbito de dirección y organización, así como a sus colaboradores, subcontratistas o proveedores externos e internos, en la medida en que presten servicios a la Sociedad, o en su nombre, que puedan conllevar el tratamiento de datos personales.
En caso de conflicto o discrepancia entre esta Política y la normativa o regulación que resulte aplicable, cualquier obligación legal prevalecerá.
Cuando lo permita la Ley, cualquier incumplimiento de esta Política puede derivar en una acción disciplinaria, incluido el despido. La Sociedad se reserva el derecho de notificar a las autoridades competentes cualquier actividad ilícita y de cooperar en cualquier investigación de dicha actividad.
- Definiciones
2.1 Datos personales: toda información sobre una persona física identificada o identificable como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
2.2 Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
- Desarrollo
- Explicación del ciclo de vida de los datos personales
En este documento se explica el ciclo de vida de los datos personales tratados en la Sociedad. En particular, cabe diferenciar las siguientes etapas:
- Período de tratamiento:
El artículo 5.1.e) del RGPD que incluye el principio de “limitación del plazo de conservación”, se basa en la regla de que sólo se podrán mantener los datos personales durante el tiempo estrictamente necesario a la luz de las finalidades del tratamiento específico. Cuando los datos ya no sean necesarios para la finalidad para la cual se recabaron, deben dejar de ser tratados por la Sociedad.
En el mismo sentido se postulan los artículos 17 (derecho de supresión) y el artículo 21 (derecho de oposición) del RGPD, que indican que, una vez el interesado los haya ejercitado, el responsable debe dejar de tratar los datos afectados.
El “período de tratamiento” es el tiempo durante el cual los datos se encuentran activos por la Sociedad y ésta, en su condición de responsable del tratamiento, puede tratarlos libremente siempre teniendo en cuenta las finalidades para las que los recabó o fueron facilitados por el responsable del tratamiento y las limitaciones propias del tratamiento en cuestión.
Esta fase se extenderá como indica el artículo 5.1.e) del RGPD, durante el período en el que el tratamiento de esos datos sea necesario para completar las funciones para las que los datos se recabaron, o hasta que el interesado ejerza su derecho de supresión u oposición.
A partir de ese momento, se entrará en el denominado “Período de bloqueo”.
- Período de bloqueo:
A la finalización del período de tratamiento, con el fin de cumplir sus obligaciones legales, la Sociedad debe proceder al bloqueo de dichos datos personales. El bloqueo de datos implica que la Sociedad, como responsable del tratamiento, cuando deba dejar de tratar los datos en virtud del principio o los derechos enunciados en el apartado (i), no procederá a la eliminación completa de dichos datos personales de los sistemas de la Sociedad, sino que los mantendrá “bloqueados” y a disposición exclusivamente de jueces, tribunales, Ministerio Fiscal o Administraciones Públicas.
Así pues, durante el Período de bloqueo, la Sociedad no podrá proceder al tratamiento de los datos, sino únicamente para facilitar el acceso a los organismos mencionados, para la exigencia de posibles responsabilidades derivadas del tratamiento y cuando dichos organismos lo exijan, hasta que se cumpla el plazo de prescripción legal de las acciones derivadas de las posibles responsabilidades que pudieran derivarse del tratamiento en cuestión, en atención a la normativa aplicable en cada momento, en cuyo momento los datos deberán ser suprimidos.
- Supresión de los datos:
La Sociedad procederá a eliminar de manera permanente los datos personales de sus sistemas una vez se haya cumplido el Período de bloqueo (esto es, cuando se haya cumplido el plazo de prescripción legal de las acciones que pudieran afectar al tratamiento y que se indican en el apartado 3.3 de esta Política).
Como única excepción a lo anterior, la Sociedad mantendrá encriptados los datos personales del sistema “Resiplus” una vez se haya cumplido el Período de bloqueo (esto es, cuando se haya cumplido el plazo de prescripción legal de las acciones que pudieran afectar al tratamiento y que se indican en el apartado 3.3 de esta Política).
- Identificación de los plazos de conservación de los datos personales
Las áreas de la Sociedad encargadas de cada tratamiento (el “Departamento Encargado”) deben implementar dichos períodos en los procesos y actividades en las que se traten datos personales.
Cada Departamento Encargado debe realizar las siguientes actuaciones:
- Identificar el período de tratamiento de los datos personales y delimitar el momento en el que el mismo concluirá.
- Una vez llegue el momento en el que el período de tratamiento concluye, se debe pasar al Período de bloqueo, aplicándose las medidas técnicas y organizativas necesarias para garantizar que no se procederá al tratamiento de dichos datos por la Sociedad y que solo se mantendrán para facilitar el acceso a jueces, tribunales, Ministerio Fiscal o Administraciones Públicas, si así lo solicitasen.
Dichas medias consisten en lo siguiente:
- Documentación física: se guarda en una caja toda la documentación existente debidamente identificada con su código de registro y se deposita en el archivo de la Sociedad.
Dicho archivo se revisa anualmente por la Dirección de la Sociedad para seleccionar aquella documentación que, una vez se haya cumplido el Período de bloqueo, se procederá a su supresión completa y definitiva mediante mecanismos de destrucción de documentación.
- Documentación electrónica:
- Documentación del sistema “Resiplus”: la Sociedad procede al encriptado de los datos personales guardados en dicho sistema.
- Documentación de los discos duros de los ordenadores de la Sociedad (archivada en carpetas diferenciadas por ejercicio natural): la Sociedad procede a su grabación en discos duros independientes a los sistemas de información habituales, con constancia de la fecha de realización de la copia y de la no manipulación de los datos durante el periodo de bloqueo.
- La Sociedad revisa asimismo anualmente aquellos datos personales que habrían de ser suprimidos tras expirar el Período de bloqueo.
- Finalizado el Período de bloqueo, la Sociedad procederá a la supresión completa y definitiva de los datos en cuestión, ejecutando el procedimiento técnico que se establecerá al efecto, con la única excepción de los datos personales del sistema “Resiplus”, que se mantendrán encriptados.
- Plazos de prescripción de las principales responsabilidades
A continuación, se detallan los principales plazos de prescripción legales que resultan de aplicación a la Sociedad, conforme a la legislación española:
- Obligaciones laborales: 5 años.
- Obligaciones en materia de protección de datos: 3 años.
- Obligaciones frente a la Seguridad Social: 5 años.
- Obligaciones en materia de prevención de riesgos laborales: 5 años.
- Obligaciones fiscales y tributarias: 4 años (responsabilidad penal: 5 años).
- Conservación libros y demás documentos contables: 6 años.
- Responsabilidad civil: 15 años para obligaciones anteriores al 7 de octubre de 2015 y de 5 años a partir de dicha fecha.
- Plazos de conservación
Transcurrido el período de tratamiento, la Sociedad conservará los datos personales durante el Período de bloqueo conforme a los siguientes plazos:
- Datos de empleados: 5 años desde la finalización de la relación laboral.
- Datos relativos al plan de prevención de riesgos laborales, la evaluación de los riegos para la seguridad y salud en el trabajo, la planificación de la actividad preventiva y los controles de estado de salud de los trabajadores: durante toda la vida de la Sociedad (art. 23 de la Ley 31/1995).
- Datos facilitados por proveedores y clientes: 5 años desde la finalización de la relación.
- Datos de candidatos: 3 años.
- Datos de videovigilancia: un mes, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
- Datos de control de acceso: mientras no haya prescrito cualesquiera responsabilidades que pudieran derivarse.