a) Nombre y datos de contacto del responsable del tratamiento:
Denominación social / Nombre y apellidos: VIVENDI BUSINESS CENTER S.L.U.
CIF/NIF: B63608087
Actividad: SERVICIOS - BUSINESS CENTER
Teléfono de contacto: 933633830
Domicilio social: Carrer de Paris 45-47, Entlo. 3ª, 08029, BARCELONA, (Barcelona)
Domicilio a efecto de notificaciones: Carrer de Paris 45-47, Entlo. 3ª, 08029, BARCELONA, (Barcelona)
Dirección electrónica de contacto: vivendibc@vivendibc.com
Página web (URL): www.vivendibc.com
b) Nombre y datos de contacto del corresponsable del tratamiento:
No existe la figura del corresponsable del tratamiento
c) Nombre y datos de contacto del representante del responsable:
El representante del tratamiento está establecido en el territorio de la Unión Europea
d) Nombre y datos de contacto del delegado de protección de datos:
La entidad responsable del tratamiento no ha designado un delegado de protección de datos
I. OBJETO DEL DOCUMENTO.
La Agencia Española de Protección de Datos plasmó, en su Plan Estratégico 2015-2019, su voluntad de que los responsables del tratamiento alcancen un elevado cumplimiento de las obligaciones que la normativa de protección de datos les impone, fomentando una cultura de la protección de datos que suponga una clara mejora de la competitividad, compatible con el desarrollo económico.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119/1, 04-05-2016) (en adelante, RGPD), proporciona un marco modernizado y basado en la rendición de cuentas para la protección de los datos en Europa.
En tal sentido, el artículo 5, apartado 2, del Reglamento (UE) 2016/679, establece expresamente el principio de «responsabilidad proactiva», según el cual el responsable del tratamiento será responsable del cumplimiento (y capaz de demostrarlo) de los siguientes principios relativos al tratamiento:
- Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
- Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
- Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
- Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
- Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
- Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
En síntesis, el principio de «responsabilidad proactiva» exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
En tal sentido, la Dirección / Órgano de Gobierno de VIVENDI BUSINESS CENTER S.L.U. aboga por una política proactiva de cumplimiento, en pos de conseguir que en el desarrollo de sus fines se respete de forma activa el derecho fundamental a la protección de datos.
En su consecuencia, el presente documento se elabora con el objeto de establecer la Política de VIVENDI BUSINESS CENTER S.L.U. en relación con el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119/1, 04-05-2016), y en la normativa española de protección de datos de carácter personal (Ley Orgánica, sus normas de desarrollo y la legislación sectorial específica).
II. COMPROMISO DE LA DIRECCIÓN / ÓRGANO DE GOBIERNO CON LA PROTECCIÓN DE DATOS.
The Management / Governing Body of VIVENDI BUSINESS CENTER S.L.U. (hereinafter, the person responsible for the treatment), assumes the maximum responsibility and commitment to the establishment, implementation and maintenance of this Data Protection Policy, guaranteeing the continuous improvement of the controller in order to achieve excellence in relation to compliance with Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and the free circulation of such data and the one that repeals the Directive 95/46 / CE (General regulation of protection of data) (DOUE L 119/1, 04-05-2016), and of the Spanish norm of protection of data of personal character (Organic Law, legislation specific sector and its development rules).
The Data Protection Policy of VIVENDI BUSINESS CENTER S.L.U. it rests on the principle of proactive responsibility, according to which the controller is responsible for compliance with the regulatory and jurisprudential framework that governs on this Policy, and is capable of proving it to the competent control authorities.
In this sense, the person responsible for the treatment will be governed by the following principles that should serve all its personnel as a guide and frame of reference in the processing of personal data:
1. Protection of data from the design: 1. the controller will apply, both at the time of determining the means of treatment and at the time of the treatment, itself, appropriate technical and organizational measures, such as pseudonymisation, designed to effectively apply the principles of data protection, such as minimizing data, and integrating data.
2. Data protection by default: the data controller will apply the appropriate technical and organizational measures in order to guarantee that, by default, only the personal data necessary for each of the specific purposes will be processed.
3. Data protection in the information life cycle: the measures that guarantee the protection of personal data will be applicable during the entire life cycle of the information.
4. Lawfulness, loyalty and transparency: personal data will be treated in a lawful, fair and transparent manner in relation to the interested party.
5. Limitation of the purpose: personal data will be collected for specific, explicit and legitimate purposes, and will not be further processed in an incompatible manner with said purposes.
6. Minimization of data: personal data will be adequate, relevant and limited to what is necessary in relation to the purposes for which they are treated.
7. Accuracy: personal data will be accurate and, if necessary, updated; all reasonable measures shall be taken so that personal data that are inaccurate with respect to the purposes for which they are treated are deleted or rectified without delay.
8. Limitation of the conservation period: the personal data will be maintained in a way that allows the identification of the interested parties during no more time than the necessary one for the purposes of processing the personal data.
9. Integrity and confidentiality: personal data will be treated in such a way as to ensure adequate security of personal data, including protection against unauthorized or illegal treatment and against loss, destruction or accidental damage, through the application of appropriate technical or organizational measures.
10. Information and training: 1. one of the keys to guarantee the protection of personal data is the training and information provided to the personnel involved in their treatment. During the information life cycle, all personnel with access to data will be properly trained and informed about their obligations in relation to compliance with data protection regulations.
The Data Protection Policy of VIVENDI BUSINESS CENTER S.L.U. it is communicated to all the personnel of the controller and it is made available to all interested parties.
As a consequence, this Data Protection Policy involves all the personnel of the data controller, who must know and assume it, considering it as their own, with each member is responsible for applying it and verifying the data protection rules applicable to their activity, as well as identifying and contributing to the opportunities for improvement that it considers appropriate with the aim of achieving excellence in relation to compliance.
This Policy will be reviewed by the Directorate / Governing Body of VIVENDI BUSINESS CENTER S.L.U. as many times as it is necessary, to adapt, at all times, to the current provisions on the protection of personal data.
III. NECESIDAD DE DISPONER DE UN DELEGADO DE PROTECCIÓN DE DATOS.
NO se detecta la necesidad de disponer de un Delegado de Protección de Datos.
Esto es debido a que no se da ninguno de los siguientes supuestos:
· El tratamiento lo lleva a cabo una autoridad u organismo público.
· Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieren una observación habitual y sistemática de interesados a gran escala.
· Las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales:
o Datos personales que revelen el origen étnico o racial.
o Datos personales que revelen las opiniones políticas.
o Datos personales que revelen las convicciones religiosas o filosóficas.
o Datos personales que revelen la afiliación sindical.
o Datos genéticos.
o Datos biométricos dirigidos a identificar de manera unívoca a personas físicas.
o Datos relativos a la salud (física o mental).
o Datos relativos a la vida sexual o la orientación sexual de personas físicas.
· Las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
· El responsable del tratamiento es un Colegio profesional o un Consejo General, regulado por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
· El responsable del tratamiento es un centro docente que ofrece enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
· El responsable del tratamiento es una entidad que explota redes o presta servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, y trata habitual y sistemáticamente datos personales a gran escala.
· El responsable del tratamiento es un prestador de servicios de la sociedad de la información que elabora a gran escala perfiles de los usuarios del servicio.
· El responsable del tratamiento es una entidad incluida en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
· El responsable del tratamiento es un establecimiento financiero de crédito regulado por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
· El responsable del tratamiento es una entidad aseguradora o reaseguradora sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
· El responsable del tratamiento es una empresa de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
· El responsable del tratamiento es un distribuidor o comercializador de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico.
· El responsable del tratamiento es un distribuidor o comercializador de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
· El responsable del tratamiento es una entidad responsable de un fichero común para la evaluación de la solvencia patrimonial y crédito.
· El responsable del tratamiento es una entidad responsable de un fichero común para la gestión y prevención del fraude.
· El responsable del tratamiento es una entidad que desarrolla actividades de publicidad y prospección comercial, y lleva a cabo tratamientos basados en las preferencias de los afectados o realiza actividades que implican la elaboración de perfiles de los mismos.
· El responsable del tratamiento es un centro sanitario legalmente obligado al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
· El responsable del tratamiento es una entidad que tiene como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
· El responsable del tratamiento es un operador que desarrolla la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
· El responsable del tratamiento desempeña alguna de las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Concepto de “observación habitual y sistemática”
La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de «observación del comportamiento de los interesados» se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental:
Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.
No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados.
El Grupo de Trabajo del artículo 29 interpreta «habitual» con uno o más de los siguientes significados:
- Continuado o que se produce a intervalos concretos durante un periodo concreto;
- Recurrente o repetido en momentos prefijados;
- Que tiene lugar de manera constante o periódica.
El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados:
- Que se produce de acuerdo con un sistema;
- Preestablecido, organizado o metódico;
- Que tiene lugar como parte de un plan general de recogida de datos;
- Llevado a cabo como parte de una estrategia.
Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son:
- Operar una red de telecomunicaciones;
- Prestar servicios de telecomunicaciones;
- Redireccionar correos electrónicos;
- Actividades de mercadotecnia basadas en datos;
- Elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero);
- Llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles;
- Programas de fidelidad;
- Publicidad comportamental;
- Seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles;
- Televisión de circuito cerrado;
- Dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.
Concepto de “a gran escala”
El Grupo de Trabajo del artículo 29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
- La duración, o permanencia, de la actividad de tratamiento de datos;
- El alcance geográfico de la actividad de tratamiento.
Como ejemplos de tratamiento a gran escala cabe citar:
- El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
- El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
- El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
- El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
- El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
- El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
Como casos que no constituyen tratamiento a gran escala cabe señalar:
- El tratamiento de datos de pacientes por parte de un solo médico;
- El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.
IV. NECESIDAD DE REALIZAR UNA EVALUACIÓN DE IMPACTO.
NO se detecta la necesidad de realizar una evaluación de impacto.
Esto es debido a que no se da ninguno de los siguientes supuestos:
· El responsable realiza una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se basa en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se toman decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
· El responsable realiza tratamientos a gran escala de categorías especiales de datos personales:
o Datos personales que revelen el origen étnico o racial.
o Datos personales que revelen las opiniones políticas.
o Datos personales que revelen las convicciones religiosas o filosóficas.
o Datos personales que revelen la afiliación sindical.
o Datos genéticos.
o Datos biométricos dirigidos a identificar de manera unívoca a personas físicas.
o Datos relativos a la salud (física o mental).
o Datos relativos a la vida sexual o la orientación sexual de personas físicas.
o Datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
· El responsable realiza una observación sistemática a gran escala de una zona de acceso público.
Concepto de “sistemático”
El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados:
- Que se produce de acuerdo con un sistema;
- Preestablecido, organizado o metódico;
- Que tiene lugar como parte de un plan general de recogida de datos;
- Llevado a cabo como parte de una estrategia.
V. EVALUACIÓN DEL RIESGO.
Determinación del riesgo
La mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
De tal modo, el responsable del tratamiento está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el citado Reglamento, con la Ley Orgánica, sus normas de desarrollo y la legislación sectorial específica, incluida la eficacia de dichas medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.
En su consecuencia, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
En tal sentido, los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos siguientes:
- En los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo;
- En los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales;
- En los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
- En los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
- En los casos en los que se traten datos personales de personas vulnerables, en particular niños;
- En los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
Determinación del riesgo de las operaciones de tratamiento
La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. Así, el riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un escaso riesgo, riesgo (riesgo estándar) o un alto riesgo.
A los efectos de la presente política de protección de datos, deberá considerarse que las operaciones del tratamiento suponen un alto riesgo para los derechos y libertades de las personas físicas en los siguientes supuestos:
1. Cuando el tratamiento pueda generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
2. Cuando el tratamiento pueda privar a los afectados de sus derechos y libertades o pueda impedirles el ejercicio del control sobre sus datos personales.
3. Cuando se produzca el tratamiento no meramente incidental o accesorio de las siguientes categorías de datos:
- Datos personales que revelen el origen étnico o racial.
- Datos personales que revelen las opiniones políticas.
- Datos personales que revelen las convicciones religiosas o filosóficas.
- Datos personales que revelen la afiliación sindical.
- Datos genéticos.
- Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
- Datos relativos a la salud.
- Datos relativos a la vida sexual o la orientación sexual de una persona física.
- Datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.
7. Cuando los datos de carácter personal fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección. En tal sentido, se considera que tienen un nivel adecuado de protección los siguientes Estados:
· Los Estados del Espacio Económico Europeo (EEE):
- Estados de la Unión Europea.
- Islandia.
- Liechtenstein.
- Noruega.
· Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
· Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
· Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
· Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
· Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
· Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
· Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
· Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
· Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
· Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
· Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
· Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. En la página web del Escudo de privacidad se accede a la relación de las entidades certificadas: https://www.privacyshield.gov/list.
8. Otros supuestos de riesgo en base a la actividad del responsable del tratamiento.
VI. REGISTRO DE ACCIONES INFORMATIVAS Y FORMATIVAS.
La Política de Protección de Datos de VIVENDI BUSINESS CENTER S.L.U. descansa en el principio de responsabilidad proactiva, según el cual el responsable del tratamiento es responsable del cumplimiento del marco normativo y jurisprudencial que gobierna dicha Política, y es capaz de demostrarlo ante las autoridades de control competentes.
En tal sentido, el responsable del tratamiento se rige, entre otros, por el principio de información y formación, según el cual una de las claves para garantizar la protección de los datos personales es la formación e información que se facilite al personal involucrado en el tratamiento de los mismos, educando a los empleados en la denominada cultura de la protección de datos.
En su consecuencia, todo el personal de la entidad con acceso a los datos será convenientemente formado e informado acerca de sus obligaciones en relación con el cumplimiento de la normativa de protección de datos, recibiendo el apropiado conocimiento, capacitación y actualizaciones regulares de la Política de Protección de Datos de VIVENDI BUSINESS CENTER S.L.U..
En relación con la metodología de las acciones informativas y formativas, se recomienda la combinación de diferentes metodologías para una mejor asimilación de los conocimientos por parte de los participantes, citando a modo de ejemplo las siguientes:
· Exposición de contenidos o clase magistral: El docente explica los contenidos de forma teórica con ayuda de recursos como son presentaciones de PowerPoint.
· Simulaciones o estudio del caso: El docente propone situaciones a resolver por parte de los participantes, que le permiten asimilar mejor los conocimientos adquiridos.
· Dinámicas de grupo: Con el fin de activar la interacción entre los participantes y el docente.
En relación con el personal docente, se recomienda acudir a profesionales de la protección de datos y de la privacidad con experiencia docente previa. Esta función puede recaer sobre el propio delegado de protección de datos de la entidad responsable del tratamiento, en el caso de que se hubiese designado como tal. Asimismo, al finalizar la acción formativa, se aconseja la realización de pruebas de evaluación de conocimientos a los participantes.
Con la finalidad de la gestión de control interno del cumplimiento del principio de información y formación en el seno de la entidad, se ha elaborado un “Registro de acciones formativas e informativas” para el personal en materia de protección de datos.
REGISTRO DE ACCIONES INFORMATIVAS Y FORMATIVAS
REF. ACCIÓN INFORMATIVA Y/O FORMATIVA N.º 1
Identificación de la acción informativa y/o formativa
| Denominación de la acción | |
| Nombre de la entidad impartidora | |
| Datos de contacto de la entidad impartidora |
Caracterización de la acción informativa y/o formativa
| Modalidad de formación | Formación presencial |
| Teleformación | |
| Objetivos de la acción formativa | |
| Perfil de las personas participantes | |
| Duración de la acción formativa | |
| Descripción abreviada del programa y contenidos de la acción formativa | |
| Metodología de la acción formativa | |
| Personal docente | |
| Recursos didácticos utilizados en la formación | |
| Evaluación de la formación |
REGISTRO DE ACCIONES INFORMATIVAS Y FORMATIVAS
REF. ACCIÓN INFORMATIVA Y/O FORMATIVA N.º 2
Identificación de la acción informativa y/o formativa
| Denominación de la acción | |
| Nombre de la entidad impartidora | |
| Datos de contacto de la entidad impartidora |
Caracterización de la acción informativa y/o formativa
| Modalidad de formación | Formación presencial |
| Teleformación | |
| Objetivos de la acción formativa | |
| Perfil de las personas participantes | |
| Duración de la acción formativa | |
| Descripción abreviada del programa y contenidos de la acción formativa | |
| Metodología de la acción formativa | |
| Personal docente | |
| Recursos didácticos utilizados en la formación | |
| Evaluación de la formación |
