Preámbulo

El Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, señala en su Considerando 78 que la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos de dicho Reglamento. Además, a fin de poder demostrar la conformidad con el Reglamento el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. De manera específica, el artículo 24 del Reglamento, en relación con el artículo 5.2 de la misma norma, establece que entre las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma, se incluyan las oportunas políticas de protección de datos que deberán ser revisadas y actualizadas cuando sea necesario. La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. De otro lado, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece en su artículo 3 que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados. Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, determina en su Disposición adicional primera la necesaria aplicación a los tratamientos de datos personales por parte de las entidades que integran la Administración Local y los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas, de las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, regulado en el Real Decreto 311/2022, de 3 de mayo, circunstancia que también operará en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato. En aplicación de dichas disposiciones se considera oportuno establecer las directrices que regirán la actuación de la Diputación de Córdoba y su Sector Público Institucional en el ámbito de los tratamientos de datos de carácter personal a través de la presente Política de Protección de Datos, de forma que se garantice una gestión efectiva y eficiente de la información y se establezca su compromiso con el cumplimiento del Reglamento

Identificación del responsable del tratamiento

Responsable de tratamiento: Patronato Provincial de Turismo de Córdoba

Domicilio: Avda. Ronda de los Tejares, 32. Pasaje. Acceso 2 Planta 3 Oficina 234.

C.P.: 14001 – Córdoba

C.I.F.: P-1400042-F

Teléfono: +34 957 491677 / 78 / 79

Correo electrónico: turismo@cordobaturismo.es

Datos de contacto del delegado de protección de datos

Conforme al art. 37 del RGPD y al art 34 de la LOPD-GDD, podrá ponerse en contacto con el Delegado de Protección de Datos: David M. Yubero Rey

Correo electrónico: protecciondedatos@dipucordoba.es

Teléfono de contacto: 957 160 050

Artículo 1. Objeto y ámbito de aplicación.

  1. El objeto del presente acuerdo es definir el marco de referencia que permite la gestión de la protección de datos en el contexto de las actividades de tratamiento con datos de carácter personal.
  2. Será de aplicación en el ámbito de los tratamientos con datos de carácter personal por parte de la Diputación de Córdoba y su Sector Público Institucional, integrado por el Instituto Provincial de Bienestar Social, el Instituto Provincial de Cooperación con la Hacienda Local, el Instituto Provincial de Desarrollo Económico, el Consorcio Provincial de Extinción de Incendios, el Patronato Provincial de Turismo de Córdoba, la Agencia Provincial de la Energía, la Fundación Provincial de Artes Plásticas Rafael Botí, la Empresa Provincial de Aguas de Córdoba, la Empresa Provincial de Residuos y Medio Ambiente, la Empresa Provincial de Informática y el Grupo Cinco Suelo Industrial.

Artículo 2. Principios de aplicación.

Diputación de Córdoba y su Sector Público Institucional tratarán la información y los datos personales bajo su responsabilidad conforme a los siguientes principios:

  1. Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente para el interesado;
  2. Legitimación en el tratamiento: sólo se tratarán los datos de carácter personal cuando el tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en el artículo 6 del RGPD, así como se observará el artículo 9 de la misma norma en caso de tratamiento de datos de carácter especial;
  3. Limitación de la finalidad: los datos de carácter personal serán tratados con una o varias finalidades determinadas, explícitas y legítimas, y no serán tratados posteriormente de manera incompatible con esos fines;
  4. Minimización de datos: se aplicarán medidas técnicas y organizativas para garantizar que sean objeto de tratamiento únicamente los datos que sean precisos para cada uno de los fines específicos del tratamiento, reduciendo la extensión del tratamiento y su accesibilidad;
  5. Exactitud: se dispondrá de medidas razonables para que los datos se encuentren actualizados y se supriman o modifiquen sin dilación cuando sean inexactos;
  6. Limitación del plazo de conservación: la conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados. En este sentido será de aplicación la normativa sobre archivos y patrimonio documental;
  7. Seguridad en el tratamiento: se llevará a cabo el análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad y la confidencialidad de los datos personales que traten. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél;
  8. Atención de los derechos de los afectados: se adoptarán medidas para garantizar el adecuado ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal;
  9. Protección de datos desde el diseño y por defecto: se actuará de forma proactiva y preventiva en el diseño de productos y servicios, previendo los posibles riesgos para los derechos y libertades de los afectados en el tratamiento al objeto de reducir la probabilidad de que se materialicen amenazas y/o mitigar su impacto;
  10. Responsabilidad proactiva: cada entidad será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

Artículo 3. Responsabilidades específicas.

Se establecen para cada entidad las siguientes directrices mínimas a fin de cumplir con los principios básicos y objetivos de la presente Política:

  1. Elaborar el Registro de actividades de tratamiento efectuadas bajo la propia responsabilidad y por cuenta de otros responsables. Se deberán aprobar en conformidad con el artículo 30 del RGPD, añadiendo un código de actividad a fin de facilitar el cumplimiento de los principios de transparencia e información al ciudadano y la actuación de los empleados públicos. Deberá mantenerse continuamente actualizado.
  2. Contar con una Política de privacidad y una Política de cookies que se integrarán en un Aviso legal, que deberá ser claro y accesible desde cualquier página de la Sede electrónica y de los Portales de internet de cada entidad. Dichos textos observarán lo dispuesto en los artículos 12 y 13 del RGPD.
  3. Implantar los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los datos de carácter personal, conozca sus responsabilidades reduciendo el riesgo derivado de un uso indebido de dichos datos.
  4. Establecer los procedimientos necesarios para lograr una adecuada gestión de la seguridad, de forma que la información de carácter personal que se transmita a través de cualquier medio deberá ser adecuadamente protegida considerando su nivel de sensibilidad.
  5. Respetar en los procedimientos administrativos y aplicativos automatizados vigentes, así como en los futuros, los principios de minimización y limitación de la finalidad. En su caso deberán rediseñarse de acuerdo a la siguiente letra f) para cumplir con las disposiciones del RGPD.
  6. Implementar la privacidad desde el diseño y por defecto. El enfoque orientado a la gestión del riesgo y de responsabilidad proactiva del RGPD requiere el compromiso de los responsables en garantizar la privacidad de los datos personales, así como asumir que coexisten obligaciones y derechos de los interesados en la actividad administrativa. En términos prácticos se deberá:
    1. Fijar criterios de recogida de datos de carácter personal limitados a la finalidad que persigue cada tratamiento.
    2. Limitar el uso de los datos personales para la/s finalidades para la/s que fueron recabados y asegurarse de que existe base legitimadora del tratamiento, observando lo dispuesto en el artículo 9 del RGPD en el caso de datos de carácter personal sensibles.
    3. Restringir en lo posible los accesos a los datos personales a las partes implicadas en los tratamientos de forma que cada unidad o empleado acceda únicamente a los datos necesarios para llevar a cabo su función o desarrollar su actividad utilizando, por ejemplo, perfiles o roles.
    4. Definir plazos de conservación de los datos de carácter personal cuando el mismo no se corresponda con el que determine la normativa de archivos y patrimonio documental.
  7. Contar para cada contrato o convenio administrativo que incluya acceso a datos de carácter personal de titularidad provincial con el necesario instrumento jurídico que regule el encargo de tratamiento. Cada entidad del sector público es responsable última de los riesgos que afectan a la información tratada y a los servicios prestados de los que es titular, por lo que se debe exigir a los proveedores o prestadores de servicios la información y la ejecución de las acciones necesarias para el cumplimiento de los objetivos.

Artículo 4. Evaluación de impacto en la protección de datos.

En conformidad con el artículo 35 del RGPD, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, cada responsable realizará con carácter previo a la puesta en funcionamiento o modificación del mismo, una Evaluación del impacto en la protección de datos personales. Tal evaluación incluirá como mínimo:

  1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del mismo;
  2. una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad;
  3. una evaluación de los riesgos inherentes al tratamiento;
  4. las medidas y mecanismos previstos que garanticen la protección de los datos y la conformidad con el RGPD.

Artículo 5. Notificación de violaciones de seguridad de los datos de carácter personal.

Se adoptarán las medidas necesarias para garantizar la comunicación al Consejo de Transparencia y Protección de Datos de Andalucía, como autoridad competente, de las violaciones de seguridad de los datos de carácter personal que pudieran producirse. Tal comunicación tendrá lugar sin dilación indebida, y a más tardar 72 horas depués de tener constancia de la misma, de conformidad con lo dispuesto en el artículo 33 del RGPD. Igualmente se adoptarán las medidas procedentes para la comunicación a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos de carácter personal, en los casos y conforme a lo dispuesto en el artículo 34 del RGPD.

Artículo 6. Revisión y auditoría.

Se llevarán a cabo de forma periódica, y al menos cada dos años, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.

Artículo 7. El responsable del tratamiento.

La condición de responsable del tratamiento o responsable recae en la presidencia de cada entidad en los términos establecidos en el artículo 4.7 del RGPD. Corresponderá a este órgano aprobar las normas que se consideren necesarias en conformidad con la presente Política y la normativa de aplicación.

Artículo 8. El responsable del servicio.

Se considera responsable del servicio al jefe del servicio o unidad asimilada, a quién corresponderá aprobar los procedimientos que considere oportunos en desarrollo de las normas de protección de datos aprobadas por el responsable de tratamiento. La aprobación de cada procedimiento requerirá la previa participación del delegado de protección de datos a efectos de verificar la acomodación del mismo a dichas normas y evitar conflictos en el tratamiento que se lleve a cabo por diferentes unidades.

Artículo 9. El delegado de protección de datos.

En el desempeño de sus tareas el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, debiendo garantizarse su efectiva participación en forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de conformidad con el artículo 38 del RGPD. Propondrá a cada responsable los textos que correspondan a cada normativa de desarrollo de la presente Política, Informará y asesorará al responsable o al encargado del tratamiento y a los empleados que se ocupen del mismo, de las obligaciones que les incumben, y supervisará el cumplimiento de las políticas de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes, de conformidad con el artículo 39 del RGPD.

Artículo 10. Obligaciones del personal.

Todos los órganos y unidades de cada entidad prestarán su colaboración en las actuaciones de implementación de la Política de protección de datos. Del mismo modo, todas las personas que presten servicio en cada una de las entidades dónde aplique la Política de protección de datos tienen la obligación de conocer y cumplir lo previsto en ella así como en las normas y procedimientos que la desarrollen, evitando y aminorando los riesgos a los que se encuentran expuestos los datos personales, y ayudando a preservar la confidencialidad e integridad de la información.

Artículo 11. Concienciación y formación.

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal, así como a la difusión entre los mismos de la Política de protección de datos y de su desarrollo normativo. Cada responsable dispondrá los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes y obligaciones así como de los riesgos existentes en el tratamiento de la información. El delegado de protección de datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, para lo cual elaborará un plan anual de formación en la materia.

Disposición derogatoria única.

El presente acuerdo deroga el anterior acuerdo sobre Política de protección de datos.