Políticas de Privacidad

Registro de Actividades del Tratamiento

Año: 2025 Entidad: LA ESCUELA DE RO Documento: Medidas técnicas y organizativas de seguridad y de gestión de la información Elaborado por: OZONIA.es V. 28/11/25 | 06830
Este documento contiene las medidas técnicas y organizativas de seguridad y de gestión de la información, que debe implementar.

Introducción

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en adelante RGPD, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Ambas están destinadas a proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

La Ley Orgánica 3/2018 pretende lograr la adaptación del ordenamiento jurídico español al Reglamento UE 2016/679 y, garantizar los derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución.

Ambos textos legales consideran lo siguiente:

  • La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.
  • Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal, deben respetar sus libertades y derechos fundamentales.

Y garantiza:

  • Un nivel uniforme y elevado de protección de las personas físicas y elimina los obstáculos a la circulación de datos personales dentro de España y de la Unión Europea.
  • Un nivel coherente de protección de las personas físicas en toda el territorio UE y evitar divergencias que dificulten la libre circulación de datos personales.

Objeto del Registro de Actividades del Tratamiento

El artículo 24 del RGPD establece la responsabilidad del Responsable del Tratamiento: “El Responsable del Tratamiento aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.”

Para ello, el Responsable del Tratamiento deberá tener un registro de actividades del tratamiento que contenga la información establecida en el artículo 30.1 del RGPD.

Así mismo, el artículo 28.1 de la Ley 3/2018, de 5 de diciembre, Ley Orgánica de Protección de Datos de Carácter Personal y de las garantías digitales, establece que “Los Responsables y Encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantaizar y acreditar que el tratamiento es conforme con el citado Reglamento, con la presente Ley Orgánica, sus normas de desarrollo y la legislación sectorial aplicable.”

Por tanto, es la finalidad del presente documento y sus anexos, en cumplimiento de lo dispuesto con la normativa vigente, recoger las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos de los afectados cuyos datos de carácter personal sean objeto de tratamiento.

Ámbito de aplicación del Registro de Actividades del Tratamiento

El ámbito de aplicación del RGPD y la Ley Orgánica 3/2018, es el relativo al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero y garantizar los derechos digitales de las personas.

La protección otorgada por las citadas normativas deben aplicarse a las personas físicas, independientemente de su nacionalidad, lugar de residencia, en relación con el tratamiento de sus datos personales.

La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como su tratamiento manual, cuando los datos figuren en un fichero o estén destinados a ser incluidos en él, y garantizar los derechos digitales de las personas.

Fuera del ámbito de aplicación de estos textos legales se encuentran el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas,incluido el nombre y la forma jurídica y sus datos de contacto.

El ámbito de aplicación de éste Registro de Actividades del Tratamiento comprende a los ficheros que contienen datos de carácter personal que se hallen bajo la responsabilidad del Responsable del Tratamiento, incluyendo los sistemas de información, soportes, infraestructuras y equipos y empleados para el tratamiento de datos de carácter personal,que deban ser protegidos de acuerdo a lo dispuesto en la normativa vigente, las personas que intervienen en el tratamiento y los establecimientos (locales/dependencias) en los que se ubican.

Identificación del Responsable del Tratamiento

Datos del Responsable
RESPONSABLE
LA ESCUELA DE RO
CIF
G09744608
DOMICILIO
C/ Agustín de Foxa nº 16, Esc. C Piso 8-4, Madrid, 28036 (Madrid)
TELÉFONO
623924200
CORREO ELECTRÓNICO
Actividades

Diseñamos e impartimos talleres, cursos y programas de formación en: Mentalidad emprendedora, Branding personal, y comunicación estratégica, Finanzas básicas para emprendedores Marketing consciente y ventas, Regulación emocional y salud mental. Programas de aceleración con enfoque migrante. Eventos y experiencias transformadoras Organizamos encuentros presenciales y virtuales que combinan formación, networking y visibilidad.

Funciones y obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento es el encargado jurídicamente dela seguridad de la información y por tanto de la aplicación de medidas técnicas y oganizativas. Para ello, debe realizar las acciones correspondientes para que el Personal afectado por este Documento conozca las normas que aplican al desarrollo de sus funciones, para lo cual debe:

  1. Implantar las medidas de seguridad establecidas en este Documento. El Responsable del Tratamiento deberá garantizar la difusión de este Documento entre todo el Personal de la Organización y todo aquel implicado.
  2. Mantener el Registro de Actividad de Tratamiento actualizado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
  3. Adecuar en todo momento el contenido del mismo, a las disposiciones vigentes en materia de seguridad de la información.
  4. Comprobar que los sistemas informáticos de acceso a los ficheros de información tengan acceso restringido, por ejemplo mediante un código de usuario y contraseña.
  5. Cuidar que todos los usuarios autorizados para acceder a los ficheros, tengan un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.
  6. Garantizar que el archivo de los documentos en soportes no automatizados (papel) se realice mediante criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos de los interesados.
  7. Autorizar expresamente la salida de soportes que contengan datos de carácter personal fuera de las dependencias del Responsable del Tratamiento.
  8. Proteger el acceso a la información/documentación ubicada en soportes no automatizados (archivadores, armarios, etc..) con puertas con llave, si la sensibildad de la información lo requiere.
  9. El Responsable del Tratamiento se encargará de verificar la definición y correcta aplicación de las copias de seguridad y recuperación de los datos.
  10. El Responsable del Tratamiento designará a uno o a varios Delegados de Protección de Datos, cuando así lo requiera la normativa vigente, en virtud de la dimensión, sistemática del tratamiento, sensibilidad de la información, y actividades desarrolladas por el Responsable del Tratamiento.

Descripción de las actividades de tratamiento y de los datos tratados

Tratamiento de datos de: PROVEEDORES
LEGITIMACIÓN
Relación Contractual
FINALIDADES
Facturación de los servicios prestados. Gestión económica , contable, fiscal y administrativa.
SOPORTE
SOPORTES PAPEL Y AUTOMATIZADO
Categorías de los Datos
DATOSECON, EMAIL, TELÉFONO, NOMBRE/A, DNI
Categorías de los INTERESADOS
PROVEEDORES
Categorías de los DESTINATARIOS
BANCOS, ENT. FINANCIERAS, GESTORÍA, AA.PP
Plazos de CONSERVACIÓN
PLAZOS SEGÚN LEGISLACIÓN
Transferencia Internacional de Datos
NO
Categorías DATOS SENSIBLES
NO
Envío Comunicaciones Comerciales
NO
Registro de Ejercicio de Derechos
SI
Tratamiento de datos de: CLIENTES
LEGITIMACIÓN
Relación Contractual
FINALIDADES
  • Toma de imágenes, vídeos y/o audios y su publicación en nuestros canales oficinales, tales como redes sociales, web, etc..
  • Envío de comunicaciones de tipo informativo sobre los servicios prestados y/o productos adquiridos.
  • Envío de comunicaciones de tipo comercial / publicitario.
  • Gestión de la relación con los Usuarios/Clientes.
  • Los necesarios para el mantenimiento de las relaciones comerciales.
  • Facturación de los servicios prestados. Gestión económica , contable, fiscal y administrativa.
SOPORTE
SOPORTES PAPEL Y AUTOMATIZADO
Categorías de los Datos
IMAGEN, EMAIL, TELÉFONO, DNI, NOMBRE/A
Categorías de los INTERESADOS
Categorías de los DESTINATARIOS
ENT. FINANCIERAS, BANCOS, GESTORÍA, AA.PP
Plazos de CONSERVACIÓN
PLAZOS SEGÚN LEGISLACIÓN
Transferencia Internacional de Datos
NO
Categorías DATOS SENSIBLES
NO
Envío Comunicaciones Comerciales
NO
Registro de Ejercicio de Derechos
SI
Tratamiento de datos de: SOCIOS
FINALIDADES
Gestión de la relación con los Usuarios/Clientes.
SOPORTE
SOPORTES PAPEL Y AUTOMATIZADO
Categorías de los Datos
IMAGEN, EMAIL, TELÉFONO, DNI, NOMBRE/A
Categorías de los INTERESADOS
Categorías de los DESTINATARIOS
AA.PP, GESTORÍA
Plazos de CONSERVACIÓN
PLAZOS SEGÚN LEGISLACIÓN
Transferencia Internacional de Datos
NO
Categorías DATOS SENSIBLES
NO
Envío Comunicaciones Comerciales
NO
Registro de Ejercicio de Derechos
NO
Tratamiento de datos de: ALUMNOS
LEGITIMACIÓN
Consentimiento expreso
Relación Contractual
FINALIDADES
  • Toma de imágenes, vídeos y/o audios y su publicación en nuestros canales oficinales, tales como redes sociales, web, etc..
  • Envío de comunicaciones de tipo comercial / publicitario.
  • Envío de comunicaciones de tipo informativo sobre los servicios prestados y/o productos adquiridos.
SOPORTE
SOPORTES PAPEL Y AUTOMATIZADO
Categorías de los Datos
AUDIO, IMAGEN, EMAIL, TELÉFONO, DNI, NOMBRE/A
Categorías de los INTERESADOS
Categorías de los DESTINATARIOS
BANCOS, AA.PP, GESTORÍA, ENT. FINANANCIERAS
Plazos de CONSERVACIÓN
PLAZOS SEGÚN LEGISLACIÓN
Transferencia Internacional de Datos
NO
Categorías DATOS SENSIBLES
NO
Envío Comunicaciones Comerciales
NO
Registro de Ejercicio de Derechos
NO

Medidas técnicas y organizativas para garantizar los niveles de seguridad

Medidas y normas relativas a la identificación del personal autorizado a acceder a los datos personales

Control de acceso a ficheros automatizados
  • Los sistemas informáticos que contienen los ficheros cuyos datos de carácter personal son objeto de tratamiento, deberán tener su acceso restringido mediante un código de usuario y una contraseña.
  • La contraseña no ha de ser perpetua y ha de forzarse el cambio cada cierto tiempo (por ejemplo trimestralmente).
  • Debe existir una relación actualizada de los Usuarios con acceso, que sólo será conocida por el propio Administrador de Sistemas o en su defecto por la persona responsable.
  • Cuando el mismo equipo informático o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades.
  • Deben mantenerse separados los usos profesionales y personal en el equipo informático o dispositivo.
  • También resulta recomendable disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales.
  • Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  • Exclusivamente el Administrador de Sistemas, o persona responsable en su defecto, debe estar autorizado para conceder, alterar o anular el acceso autorizado de terceros usuarios sobre los datos y los recursos,conforme a los criterios establecidos por el Responsable del Tratamiento.
  • Los equipos informáticos deberán contar con herramientas del tipo antimalware / antivirus y cortafuegos (firewall).
  • Los sistemas operativos de los equipos informáticos deberán estar actualizados.
  • Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información limitando el número máximo de intentos fallidos.
  • Cuando sea técnicamente posible, se guardará en un fichero auxiliar a modo de registro la fecha, hora, código y claves erróneas que se han introducido, así como otros datos que ayuden a descubrir la autoría de esos intentos de acceso no autorizados en los ficheros.
  • Este tipo de medidas de seguridad tiene especial importancia cuando se traten datos personales de carácter sensibles.
Procedimiento de asignación de contraseña
  • Las contraseñas se asignarán y cambiarán mediante un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
  • El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del Administrador de Sistemas (si existe ésta figura).
  • La periodicidad del cambio de contraseñas debe ser inferior a un año.
  • Las contraseñas deberán ser suficientemente complejas y seguras, evitando el uso propio identificador como contraseña o palabras sencillas, el nombre propio, fecha de nacimiento, etc.

Pautas

  1. Deberán tener una longitud mínima de 8 caracteres alfanuméricos.
  2. No deberán coincidir con el código de usuario.
  3. No deberán estar basadas en cadenas de caracteres que sean fácilmente asociables al usuario (nombre, apellidos, ciudad y fecha de nacimiento, DNI, nombre de familiares, matrícula del coche, etc.).

Las contraseñas deberán ser estrictamente confidenciales y personales. Cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al Administrador de Sistemas (si existe ésta figura) y subsanada en el menor plazo de tiempo posible. Deberá registrarse como incidencia y proceder inmediatamente a su cambio.

El archivo donde se almacenen las contraseñas deberán estar protegido y bajo la responsabilidad del Administrador de Sistemas (si existe ésta figura).

Control de acceso físico a centro/s y puesto/s de trabajo

Las dependencias donde se ubiquen los ordenadores o archivos que contienen los ficheros con información personal deben ser objeto de especial protección, de modo que se garantice la disponibilidad y confidencialidad de los datos protegidos.

Las dependencias deberán contar con los medios de seguridad que eviten los riesgos de indisponibilidad de los ficheros que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. La descripción de esos medios se encuentra en:

  • ANEXO I. DESCRIPCIÓN DE LOS PUESTOS DE TRABAJO
  • ANEXO II. DESCRIPCIÓN DE CENTRO/S DE TRABAJO Y EQUIPAMIENTOS

Solo el personal autorizado, podrá tener acceso a las dependencias donde se encuentren ubicados los sistemas de información condatos de carácter personal.

Control de acceso a ficheros no automatizados (en soporte papel)
  • El Responsable del Tratamiento deberá establecerse un control de los accesos autorizados, pudiendo exclusivamente los usuarios autorizados acceder a los ficheros no automatizados.
  • Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  • La entidad responsable de la limpieza del centro de trabajo, así como cualquier otra entidad prestataria de servicios con acceso limitado o no, frecuente o esporádico a la informati cóntratada por el Responsable del Tratramiento garantizará la observancia de las medidas de seguridad necesarias para que no se produzca, voluntaria o involuntariamente, incidencia alguna en tales dependencias, siendo aquella responsable de las que pudieran producirse.
  • Iguales garantías se deberán adoptar en el desarrollo de las obras y tareas de mantenimiento y reparación de los elementos ubicados dentro de las dependencias del Responsable del Tratamiento.
  • El acceso de usuarios no incluidas en el Anexo de Personal Autorizado,deberá estar adecuadamente registrado.

Gestión y almacenamiento de soportes y documentos

Ficheros automatizados

Un soporte de ficheros automatizados es un objeto físico o virtual susceptible de ser tratado en un sistema de información y en el cual se pueden grabar o recuperar datos.

  • Los soportes automatizados que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado.
  • La información contenida en los soportes automatizados deberá estar cifrada.
  • Los soportes deben almacenarse en un lugar con acceso restringido, para que su utilización quede restringida a las personas con acceso autorizado a los ficheros, según la relación del ANEXO III: PERSONAL AUTORIZADO.
  • Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.
  • La salida de soportes informáticos que contengan datos de carácter personal, fuera de las dependencias en las que esté ubicado el fichero, únicamente podrá ser autorizada por el Responsable del Tratamiento.
  • Se confeccionará un inventario de soportes que contendrá la siguiente información: tipo de soporte, fecha de creación, información que contiene y lugar donde se encuentra almacenado. El inventario se mantendrá constantemente actualizado.
  • Cuando los soportes informáticos vayan a salir fuera de las dependencias en las que se encuentren ubicados los ficheros, como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.
  • Deberá establecerse un sistema de registro de entrada de soportes que permita conocer el tipo de documentos, la fecha, hora, el emisor, el número de soportes y la personal responsable de la recepción que deberá estar debidamente autorizada.

Distribución de soportes

  • Los soportes serán almacenados con un sistema de etiquetado confidencial.
  • La distribución de los soportes se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte, evitándose el uso de los dispositivos que no permitan cifrado o la adopción de medidas alternativas.
Ficheros no automatizados
  • El Responsable del Tratamiento contará con dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura.
  • El archivo de los documentos se realizará garantizando que los documentos van a estar perfectamente conservados, y sea fácil localizar y consultar su información. Todo ello para posibilitar el ejercicio de los derechos de las personas cuyos datos sean objeto de tratamiento.
  • Cuando los documentos con datos personales no se encuentren archivados en las carpetas u otros dispositivos de almacenamiento indicados anteriormente, por estar en proceso de tramitación, las personas que se encuentren al cargo de los mismos deberán custodiarlos e impedir en todo momento que pueden ser una documentación a la que tenga acceso personal no autorizado.
  • Se utilizarán armarios cerrados con llave en los que los datos estarán dispuestos, con un criterio lógico en los archivadores, siendo responsabilidad del Responsable del Tratamiento el impedir el acceso a la información por personas no autorizadas.
  • Deberá establecerse un sistema de registro de entrada y salida de documentos que permita conocer el tipo de información contenida, la fecha, hora, el emisor, el número de documentos y la personal responsable de la entrada y salida.
  • La entrada o salida de documentos debe estar autorizada por el Responsable del Tratamiento.
Acceso a datos a través de redes de comunicaciones

Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones, tales como Internet, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Los datos personales que se transmitan a través de redes públicas o inalámbricas de comunicaciones electrónicas se realizarán previamente cifrando los datos por los distintos mecanismos de cifrado que se utilicen y garanticen que la información no va a ser inteligible ni manipulada por terceros.

Régimen de trabajo fuera de las dependencias físicas

Ficheros automatizados

La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del tratamiento y, en todo caso, deberá garantizarse las medidas de seguridad.

En la autorización para el tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá aparecer lo siguiente:

  • Finalidad para la cual se solicita la autorización.
  • Tipo de tratamiento (automatizado, no automatizado, mixto)
  • Tipo de dispositivo portátil (en su caso)
  • Tipo de documentación objeto de tratamiento
  • Ficheros de dónde proceden los datos
  • Periodo de validez de la autorización
  • Medidas de seguridad implementadas para proteger la información
  • Persona autorizada para trabajar fuera de los locales
  • Cargo/departamento
  • Observaciones
  • Firma de la persona que autoriza

El tratamiento fuera de los locales de trabajo deberá cifrarse los datos que contengan los dispositivos portátiles cuando éstos se encuentran fuera de las instalaciones que están bajo control del responsable del tratamiento.

Se deberá evitar el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado.

Ficheros no automatizados

Siempre que se proceda al traslado físico de la documentación contenida en un fichero se trasladará con la debida diligencia y cuidado, para impedir su pérdida en el desplazamiento.

En los ficheros no automatizados se adoptarán medidas que impidan el acceso o manipulación, tales como la utilización de un maletín con cierre de seguridad para trasladar los documentos.

Procedimiento para la realización de copias de reproducción
  • Deberán realizarse copias de seguridad periódicamente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  • Los procedimientos establecidos para la realización de copias de seguridad y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
  • El Responsable del Tratamiento se encargará de verificar al menos cada seis meses, la definición y correcta aplicación de los procedimientos de realización de copias de seguridad y de recuperación de los datos.
  • Será necesaria la autorización por escrito del Responsable del Tratamiento para la ejecución de los procedimientos de recuperación de los datos.
  • Deberá conservarse una copia de seguridad y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos.
  • Las copias desechadas deberán ser destruidas, imposibilitando el posterior acceso a la información contenida en los documentos.

Procedimiento de revisión de las medidas técnicas y organizativas

Según establece el articulo 30 del RGPD “El Responsable o Encargado del Tratamiento y, en su caso, el Representante del Responsable o del Encargado pondrá el registro a disposición de la autoridad de control que lo solicite”

Teniendo en cuenta el artículo 31.1 de la Ley Orgánica 3/2018 establece que "Los responsables y encargados del tratamiento o, en su caso, su representante deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del RGPD"

Por tanto es fundamental que éste documento esté permanentemente actualizado, y en un formato claro y legible que facilite su compresión por parte de terceros. Cualquier modificación relevante en los sistemas de información automatizados o no, en la organización de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carácter personal deberá conllevar la revisión de la documentación total o parcial.

Las medidas de seguridad serán revisadas de forma periódica, pudiéndose realizar por mecanismos automáticos(software o programas informáticos) o de manera manual.

Identificación del Encargado del Tratamiento

En el Considerando 81 del RGPD establece que “.. respecto del tratamiento que lleve a cabo el Encargado por cuenta del Responsable, éste, al encomendar actividades de tratamiento a un Encargado, debe recurrir únicamente a Encargados que ofrezcan suficientes garantías, en particular, en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento.

El tratamiento por un Encargado debe regirse por un contrato, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los interesados.”

Así mismo el artículo 28.1 del RGPD establece que “..cuando se vaya a realizar un tratamiento por cuenta de un Responsable del tratamiento, éste elegirá únicamente a un Encargado de Tratamiento que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con el Reglamento.”

Por tanto, en cumplimiento del articulo 28.3 del RGPD se deberá formalizarse un contrato de acceso (tratamiento) a datos, de manera que acredite fehacientemente su celebración y contenido.

Listado de encargados y contratos de tratamiento de datos
ENCARGADO DEL TTO. SERVICIO FECHA ALTA
OZONIA Consultores S L Asesoramiento para el cumplimiento de la Normativa de Protección de Datos de carácter Personal 28/11/25
PROSECAL Consultoría Auditoria Y Formación Sl. Asesoría Fiscal/Contable 28/11/25

Procedimiento de notificación, gestión y respuesta ante la violación de la seguridad de los datos personales

Se considera una violación de la seguridad de los datos personales aquel incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Notificaciones

En caso de violación de la seguridad de la información de carácter personal, el Responsable del Tratamiento deberá notificar a la Autoridad de Control competente sin dilación y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella; a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos del interesado. Si la notificación a la Autoridad de Control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

La notificación contemplada deberá contener como mínimo:

  • Describirla naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximados de registros de datos personales afectados.
  • Comunicar el nombre y los datos de contacto del Delegado de protección de datos u otro contacto en el que pueda obtenerse más información.
  • Describirlas posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describirlas medidas adoptadas o propuestas por el Responsable del Tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

El Responsable del Tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la Autoridad de Control verificar el cumplimiento de lo exigido por la normativa reguladora.

Procedimiento de conservación y supresión de los datos

El Procedimiento de conservación y supresión de datos personales, pretende establecer unas directrices de actuación relativas a determinar cuándo debe procederse a la conservación o a la destrucción de los datos, a los efectos de dar cumplimiento a las exigencias derivadas del deber de calidad.

La presente Política deberá ser observada por el RESPONSABLE DEL TRATAMIENTO y por todo el personal que maneje datos de carácter personal en el desarrollo de su actividad.

Obligaciones de supresión de datos personales

1. Consideraciones previas

Según los principios recogidos en el art. 5 del Reglamento (EU) de 2016/679 de Protección de Datos Personales, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el Responsable del Tratamiento ha de establecer plazos para su supresión o revisión periódica.

A tal efecto, la presente Política debe guiarse por Principio de limitación del plazo de conservación del apartado e) del artículo 5.1 del RGPD, en virtud del cual los datos personales deben ser “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.”

2. Causas habilitantes de la supresión de los datos personales

2.1 Terminación de la condición legitimadora del tratamiento.

Cuando los mismos ya no sean útiles ni necesarios para la finalidad que justificó su recogida y tratamiento, o una vez cumplida y agotada dicha finalidad deberá procederse a la supresión de los datos personales, siempre y cuando no sea necesario proceder al bloqueo de los mismos para responder ante posibles responsabilidades derivadas del tratamiento de datos personales y por el plazo de prescripción de las mismas previstas en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.

2.2 Ejercicio del derecho de supresión

Cuando el interesado ejerza el derecho de supresión de los datos personales, siempre que concurran alguna de las circunstancias siguientes:

  1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  2. el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;
  3. el interesado se oponga al tratamiento con arreglo al artículo 21.1 del RGPD (derecho de oposición), y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando éste tenga por objeto la mercadotécnica directa (artículo 21.2 del RGPD);
  4. los datos personales hayan sido tratados ilícitamente;
  5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
  6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a niños, mencionados en el artículo 8.1 del RGPD.

En estos casos, deberá procederse a la eliminación de los datos personales, siempre y cuando no sea necesario proceder al bloqueo de los ismos para responder ante posibles responsabilidades derivadas del tratamiento de datos personales y por el plazo de prescripción de las ismas previstas en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.

No obstante lo anterior, no se aplicará el derecho de supresión, y por tanto los datos podrán continuar siendo tratados por el responsable del tratamiento cuando el tratamiento sea necesario:

  1. para ejercer el derecho a la libertad de expresión e información;
  2. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
  3. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
  4. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
  5. para la formulación, el ejercicio o la defensa de reclamaciones.

Mecanismos de supresión de los datos personales

Si los datos están contenidos en soporte no automatizado, se deberá proceder a la destrucción física de los documentos. A tal efecto se recomienda:

  • La utilización de proveedores de servicio de destrucción documental
  • La utilización de herramientas de destrucción física de papel, tal y como, destructoras de papel.
  • Opcionalmente, y en el caso en que la supresión tenga como origen el ejercicio de derecho de supresión, la supresión podrá tener lugar mediante la entrega de dicha información a la persona o personas que sean titulares de la misma.

Si los datos están contenidos en soporte informático, se procederá de igual forma a su eliminación física de la aplicación, sin que sea suficiente el empleo de una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren los derechos de supresión.

Plazos legales de conservación de datos

En los casos en los que exista obligación legal de conservar los datos durante un periodo de tiempo determinado y/o durante los plazos de prescripción de las acciones que pudieran derivarse de la actividad o servicio prestado, el RESPONSABLE DEL TRATAMIENTO DE DATOS procederá al bloqueo de los datos durante los referidos plazos.

Los datos bloqueados quedarán, únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas y/o durante los plazos legales establecidos al efecto. Cumplidos los indicados plazos, deberá procederse a la supresión de los datos bloqueados.

El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas, organizativas, para impedir su tratamiento, incluyendo si visualización.

Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada anteriormente.

En caso de que para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo de los datos o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, fecha del bloqueo y la no manipulación de los datos durante el mismo.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica, en cada caso, para cada actividad de tratamiento.