Política de Protección de Datos Personales

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

FINALIDAD

El Órgano de Administración de GLOBAL COAST INVESTMENTS S.L.  (la “Sociedad”) tiene atribuida la responsabilidad de formular la estrategia y aprobar las Políticas corporativas de la Sociedad, así como el compromiso responsable de la gestión continua de los riesgos potenciales asociados al tratamiento de datos desde su diseño hasta la finalización del mismo, ya sea por la supresión o anonimización de los datos personales. Se trata así de que todo tratamiento de datos personales cumpla con los requisitos exigidos minimizando los riesgos que impliquen para la persona física cuyos datos personales son tratados.
En el ejercicio de estas responsabilidades, y con el objeto de establecer los principios generales que deben regir el tratamiento de los datos personales, en el sentido establecido por la normativa y el Reglamento General de Protección de Datos, el Órgano de Administración aprueba la presente Política de Protección de Datos Personales.
La Política de Protección de Datos Personales establece los principios y pautas de actuación que deben regir en materia de protección de datos personales, garantizando, en todo caso, el cumplimiento de la legislación aplicable. En particular, la Política de Protección de Datos Personales tiene la finalidad de garantizar el derecho a la protección de sus datos de todas las personas físicas que se relacionan con la sociedad, asegurando el respeto del derecho al honor y a la intimidad en el tratamiento de las diferentes tipologías de datos personales, procedentes de diferentes fuentes y con fines diversos en función de su actividad empresarial.

ÁMBITO DE APLICACIÓN

La Política de Protección de Datos Personales será de aplicación a la Sociedad, a sus administradores, directivos y empleados, así como a todas las personas que se relacionen con las sociedades pertenecientes a aquélla y que bajo la autoridad de la Sociedad traten datos personales para el cumplimento de sus actividades.
En aquellas sociedades o entidades filiales, directa o indirectamente, participadas por la Sociedad, sus representantes procurarán que se observen las previsiones de esta Política de Protección de Datos Personales y promoverán, en la medida de lo posible, la aplicación de sus principios.
Además, dichas sociedades o entidades filiales se asegurarán de cumplir, en su caso, con sus respectivas obligaciones en materia de protección de datos cuando actúen como responsables y/o encargados del tratamiento.

PRINCIPIOS DEL TRATAMIENTO DE LOS DATOS PERSONALES

Principios generales

La Sociedad cumplirá escrupulosamente con la legislación de su jurisdicción en materia de protección de datos, la que resulte aplicable en función del tratamiento de datos personales que se lleve a cabo y la que se determine conforme a normas o acuerdos vinculantes adoptados en el seno de esta Sociedad o, en su caso, con otros responsables del tratamiento si se tratan datos personales por cuenta de los mismos.
La Sociedad promoverá que los principios recogidos en esta Política de Protección de Datos Personales sean tenidos en cuenta en el diseño e implementación de todos los procedimientos que impliquen el tratamiento de datos personales, en los productos y servicios ofrecidos por ésta, en todos los contratos y obligaciones que formalicen con personas físicas y en la implantación de cuantos sistemas y plataformas permitan el acceso por parte de empleados o de terceros a datos personales y/o la recogida o tratamiento de dichos datos.

Principios relativos al tratamiento de datos personales

Principios de legitimidad, licitud y lealtad en el tratamiento de datos personales

El tratamiento de datos personales será leal, legítimo y lícito conforme a la legislación aplicable. En este sentido, los datos personales deberán ser recogidos para uno o varios fines específicos y legítimos conforme a la legislación aplicable.
En los casos en los que resulte obligatorio conforme a la legislación aplicable, deberá obtenerse el consentimiento de los interesados antes de recabar sus datos.
Asimismo, cuando lo exija la ley, los fines del tratamiento de datos personales serán explícitos y determinados en el momento de su recogida.

Principio de minimización

Solo serán objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para los que se recojan o traten y adecuados a tal finalidad.

Principio de exactitud

Los datos personales deberán ser exactos y estar actualizados. En caso contrario, deberán suprimirse o rectificarse.

Principio de limitación del plazo de conservación

Los datos personales no se conservarán más allá del plazo necesario para conseguir el fin para el cual se tratan, salvo en los supuestos previstos legalmente. Los datos personales serán suprimidos o anonimizados cuando dejen de ser necesarios para el fin o fines del tratamiento, salvo que deban ser bloqueados, en virtud de la obligación exigible al responsable del tratamiento, o conservados como consecuencia del ejercicio del derecho de limitación.

Principio de integridad y confidencialidad

En el tratamiento de los datos personales se deberá garantizar, mediante medidas técnicas u organizativas, una seguridad adecuada que los proteja del tratamiento no autorizado o ilícito y que evite su pérdida, su destrucción y que sufran daños accidentales.
Los datos personales recabados y tratados por las sociedades del Grupo deberán ser conservados con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos de los que justificaron y permitieron su recogida y sin que puedan ser comunicados o cedidos a terceros fuera de los casos permitidos por la legislación aplicable.

Principio de responsabilidad proactiva (rendición de cuentas)

La Sociedad será responsable de cumplir con los principios estipulados en esta Política de Protección de Datos Personales y los exigidos en la legislación aplicable y deberán ser capaces de demostrarlo, cuando así lo exija la legislación aplicable.
La Sociedad deberá hacer una evaluación del riesgo de los tratamientos que realicen, con el fin de determinar las medidas a aplicar para garantizar que los datos personales se tratan conforme a las exigencias legales. En los casos en los que la normativa lo exija, se evaluarán de forma previa los riesgos que para la protección de datos personales puedan comportar nuevos productos, servicios o sistemas de información y se adoptarán las medidas necesarias para eliminarlos o mitigarlos. La Sociedad deberá llevar un registro de actividades en el que se describan los tratamientos de datos personales que lleven a cabo en el marco de sus actividades.
En el caso de que se produzca una violación de la seguridad de los datos que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos, deberán seguirse los protocolos internos establecidos a tal efecto y los que establezca la legislación aplicable. Dichas violaciones deberán documentarse y se adoptarán medidas para solventar y paliar los posibles efectos negativos para los interesados.

Principios de transparencia e información

El tratamiento de datos personales será transparente en relación con el interesado, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la normativa aplicable.
A fin de garantizar un tratamiento leal y transparente, la Sociedad responsable del tratamiento deberá informar a los interesados cuyos datos se pretende recabar de las circunstancias relativas al tratamiento conforme a la legislación aplicable. Igualmente, si los datos personales no han sido obtenidos de los interesados, la Sociedad cumplirá con el principio de información en los términos previstos en la normativa aplicable, salvo que concurra alguna excepción al respecto o se puedan tomar otras medidas en relación con este principio.

Adquisición u obtención de datos personales

Queda prohibida la adquisición u obtención de datos personales de fuentes ilegítimas, de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos datos hayan sido recabados o cedidos contraviniendo la normativa. Queda también prohibido cualquier tratamiento de datos personales que no cumpla con los requisitos exigidos en virtud de la normativa aplicable o la obtención de datos personales incumplimiendo los principios de licitud y lealtad como, por ejemplo, a través de engaño o formas no permitidas por la normativa en materia de protección de datos personales.

Contratación de encargados del tratamiento

Con carácter previo a la contratación de cualquier prestador de servicios que acceda a datos personales que sean responsabilidad de la Sociedad, así como durante la vigencia de la relación contractual, esta deberá adoptar las medidas necesarias para garantizar y, cuando sea legalmente exigible, demostrar, que el tratamiento de datos por parte del encargado se lleva a cabo conforme a la normativa aplicable. Todo prestador de servicios que actúe como encargado del tratamiento tendrá que haber firmado o suscrito con la Sociedad un contrato u otro acto jurídico que cumpla con los requisitos exigidos por la normativa aplicable sobre protección de datos y deberá ser capaz, en todo momento, incluso en el momento de finalización del servicio que implique el tratamiento de datos personales, de ayudar a la Sociedad a cumplir y demostrar el cumplimiento en la materia.

Transferencias internacionales de datos

Todo tratamiento de datos personales que implique una transferencia de datos fuera del Espacio Económico Europeo deberá llevarse a cabo con estricto cumplimiento de los requisitos establecidos en la normativa aplicable en materia de protección de datos. Cualquier empresa o persona que reciba los datos personales como consecuencia de una transferencia internacional de datos, adoptará las medidas necesarias para cumplir con la normativa sobre protección de datos aplicable y aquellas a las que se haya obligado con la Sociedad.

Derechos de los interesados

La Sociedad facilitará que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, incluida en su caso la elaboración de perfiles, que sean de aplicación, estableciendo, a tal efecto, medidas adecuadas y los procedimientos internos que resulten necesarios para satisfacer, al menos, los requisitos legales aplicables en cada caso.

Implantación

Conforme a lo dispuesto en esta Política de Protección de Datos Personales, se desarrollará y mantendrá actualizada la normativa interna de gestión de la protección de datos, y será de obligado cumplimiento para todos los directivos y empleados de la Sociedad.
EL ENCARGADO DEL TRATAMIENTO será responsable de reportar a GLOBAL COAST INVESTMENTS S.L.  de los desarrollos y novedades normativas que se produzcan en este ámbito.
EL ENCARGADO DEL TRATAMIENTO, o la dirección que asuma sus funciones, será la encargada de implementar en los sistemas de información de la sociedad, los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de la normativa interna de gestión de la protección de datos y velará por que dichos desarrollos estén actualizados en cada momento.

Control y Evaluación

Control

Corresponde a EL ENCARGADO DEL TRATAMIENTO, o a la dirección que asuma sus funciones, supervisar el cumplimiento de lo dispuesto en esta Política de Protección de Datos Personales por parte de la Sociedad. Lo anterior se entenderá, en todo caso, sin perjuicio de las responsabilidades que correspondan a otros órganos y direcciones de la Sociedad. Para verificar el cumplimiento de esta Política de Protección de Datos Personales se realizarán auditorías periódicas con auditores internos o externos.

Evaluación

EL ENCARGADO DEL TRATAMIENTO evaluará, al menos una vez al año, el cumplimiento y la eficacia de esta Política de Protección de Datos Personales e informará del resultado a GLOBAL COAST INVESTMENTS S.L. , o a la dirección que asuma dichas funciones en cada momento.
EL ENCARGADO DEL TRATAMIENTO, o a la dirección que asuma sus funciones, en caso de que el primero no hubiera sido nombrado, evaluará, al menos una vez al año o cada vez que sea necesario en atención al riesgo que implique el tratamiento de datos personales, el cumplimiento y la eficacia de esta Política de Protección de Datos Personales y pondrá en conocimiento de GLOBAL COAST INVESTMENTS S.L. el resultado de dicha evaluación.

Esta Política de Protección de Datos Personales fue aprobada inicialmente por el Consejo de Administración el 19/06/2018.

COMPROMISO Y APROBACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

Adopción de la Política de Protección de Datos Personales

El ÓRGANO DE ADMINISTRACIÓN de GLOBAL COAST INVESTMENTS S.L. , como responsable del tratamiento, en fecha 19 de Junio de 2018 , ha aprobado la presente Política de Protección de Datos Personales en virtud de su obligación de aplicación de medidas técnicas y organizativas para cumplir y demostrar el cumplimiento de la normativa aplicable en materia de protección de datos personales y en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).

Ámbito y finalidad de la Política de Protección de Datos Personales

En concreto, el objetivo de esta Política de Protección de Datos Personales es aplicar medidas técnicas y organizativas a todo tratamiento de datos personales que se lleve a cabo en GLOBAL COAST INVESTMENTS S.L. con la finalidad de asegurar que se cumple con las obligaciones exigibles en virtud de la normativa aplicable en materia de protección de datos personales para proteger el derecho fundamental a la protección de datos personales de las personas físicas cuyos datos personales sean objeto de tratamiento.
Se trata de una política corporativa que se aplica al tratamiento de datos personales que se lleve a cabo por GLOBAL COAST INVESTMENTS S.L. con independencia de que lo haga por sí mismo o a través de encargados del tratamiento a los que recurra.
En todo momento se atenderá al riesgo que implique el tratamiento de datos personales para los derechos y libertades de los interesados.
Es así que todo tratamiento de datos personales tendrá que cumplir con los principios aplicables en materia de protección de datos personales, de manera que se garantice que el tratamiento sea lícito, cumpliendo con los requisitos de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos personales tratados; exactitud de los datos personales tratados; limitación del plazo de conservación, así como integridad y confidencialidad, a través de la adopción de las medidas de seguridad aplicables.
Las medidas de seguridad a adoptar se determinarán y aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Las medidas técnicas y organizativas serán las que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
A su vez, las medidas técnicas y organizativas, tales como la evaluación de impacto relativa a la protección de datos personales, la consulta previa a la autoridad de protección de datos, la notificación de violaciones de seguridad a la autoridad de protección de datos y, en su caso, a los interesados, u otras que sean aplicables, se adoptarán por GLOBAL COAST INVESTMENTS S.L. a la vista del riesgo que se identifique en los términos indicados.
GLOBAL COAST INVESTMENTS S.L. ha adoptado también un procedimiento para la atención a las solicitudes de ejercicio de derechos de los interesados.
En caso de que los datos personales objeto de tratamiento se transfieran, cualquiera que sea la finalidad de dicha transferencia, a un tercer país, se asegurará de que la misma se lleve a cabo sobre la base de garantías suficientes.
Igualmente, si se comunican datos a terceros o se recurre a encargados del tratamiento, el responsable del tratamiento se ha asegurado de que la comunicación se lleva a cabo sobre la base de una condición de legitimación aplicable, en el primer caso, o mediante la suscripción del correspondiente contrato u otro acto jurídico, en el segundo caso, con las garantías adecuadas para proteger el derecho fundamental a la protección de datos personales.
La Política de Protección de Datos Personales es de obligado cumplimiento a toda persona, ya sea directivo, empleado, colaborador o encargado del tratamiento que, bajo la autoridad de GLOBAL COAST INVESTMENTS S.L. trate datos personales.
GLOBAL COAST INVESTMENTS S.L. y cualquier encargado del tratamiento que trate datos personales por su cuenta cooperarán en todo momento con la autoridad competente de protección de datos personales a través de los procedimientos establecidos a tal fin.

Revisión y actualización de la política de protección de datos

Esta Política de Protección de Datos Personales será revisada y, en su caso, actualizada según sea necesario atendiendo al riesgo que implique el tratamiento de los datos personales para los interesados.