La protecció de les persones físiques en relació amb el tractament de les seves dades personals és un dret fonamental que estableix l'article 8.1 de la Carta dels Drets Fonamentals de la Unió Europea i l'article 16.1 del Tractat de Funcionament de la Unió Europea, així traslladat a l'article 18.4 de la Constitució Espanyola que estableix que "la llei limitarà l'ús de la informàtica per garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets".
MANS UNIDES, en el marc del seu compromís en matèria de compliment normatiu, aprova la present POLÍTICA DE PROTECCIÓ DE DADES, d'ara endavant, la Política, en la qual desenvolupa les normes i principis de conducta que han de servir de guia als professionals de MANS UNIDES, en relació amb la protecció de dades de caràcter personal d'acord amb la legislació vigent.
Aquesta Política pretén donar a conèixer als professionals, voluntaris i contractats, de MANS UNIDES la normativa aplicable en matèria de protecció de dades i, especialment, el REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (en endavant, RGPD).
Les regles d'actuació contingudes en aquesta Política seran d'aplicació en el context de la feina exercida pels professionals de MANS UNIDES i tindran com a objectiu la protecció de les dades de caràcter personal, tant dels professionals com de tots els tercers (proveïdors, clients, representants d'administracions públiques, etc.) que es relacionen amb MANS UNIDES.
Les regles recollides en aquesta Política són pautes d'obligat compliment per a tots els professionals, voluntaris i contractats, de Mans Unides que, a més, hauran de fer servir els seus millors esforços per assegurar-se del fet que les mateixes es respecten.
Les regles contingudes en la present Política es veuran complementades amb el que disposa el Manual de Funcions i Obligacions destinat a personal de MANS UNIDES.
La present Política s'aplica al tractament total o parcialment automatitzat o no automatitzat de dades personals en l'entorn de les activitats desenvolupades per Mans Unides.
D'altra banda, aquesta Política s'aplica a tots els professionals de Mans Unides, independentment de la seva posició jeràrquica en el si de l'organització o de la seva qualificació professional o la tipologia de la seva relació amb MANS UNIDES.
Aquesta política no s'aplica a les persones jurídiques vinculades per qualsevol motiu amb Mans Unides, però sí a les persones físiques que integrin a aquestes persones jurídiques i les dades personals transcendeixin a l'activitat desenvolupada per MANS UNIDES.
Presència internacional: En el cas d'aquells països en què MANS UNIDES tingui presència institucional pel seu reconeixement en registres locals o similars, s'haurà d'aplicar tant els termes d'aquesta política com complir amb la legislació nacional en matèria de protecció de dades. En el cas d'aquells altres països en els quals MANS UNIDES treballa a través de socis locals, les seves obligacions en matèria de protecció de dades es limitaran a la transferència internacional de dades, segons determini la legislació espanyola.
Referent a això, les entitats amb què MANS UNIDES col·labora podrien accedir a les dades personals que utilitza aquesta Associació, produint-se una transferència internacional de dades que tindrà lloc d'acord amb el que disposa el RGPD, Capítol V, Article 44 i següents, particularment complint els requisits sobre garanties adequades de l'Article 46, o bé amb les excepcions previstes a l'article 49, en els casos en què les dades personals es transmetin a un tercer país o organització internacional sobre els que la Comissió Europea no hagi emès una Decisió d'Adequació d'acord amb l'Article 45 de l'esmentat Reglament o bé estiguin inclosos en l'Ordre de 2 de febrer de 1995 per la qual s'aprova la primera relació de països amb protecció de dades de caràcter personal equiparable a l'espanyola, a l'efecte de transferència internacional de dades (BOE 1995.02.10, darrera modificació 1998.08.21)..
El capítol II de l'RGPD estableix els principis que regeixen la protecció de dades i que, per tant, formen la base de la present Política:
MANS UNIDES tractarà les dades personals de manera lícita, lleial i transparent, és a dir, s'informarà l'interessat sobre el tractament de les seves dades i les finalitats específiques, oferint-li tota la informació addicional que sigui necessària.
Les persones físiques seran informades que s'estan recollint, utilitzant, consultant o tractant d'una altra manera dades personals que els hi concerneixen, així com la mesura que aquestes dades són o seran tractades.
Les dades personals es tractaran de manera que es garanteixi una seguretat i confidencialitat adequades, inclusivament per impedir l'accés o ús no autoritzats d'aquestes dades i de l'equip utilitzat en el tractament.
No es tractaran dades personals sense el consentiment de l'interessat o d'acord amb les regles generals de la legislació aplicable.
MANS UNIDES no demanarà ni tractarà dades personals relatives a l'origen ètnic o racial, les opinions polítiques, les conviccions filosòfiques o l'afiliació sindical i el tractament de dades genètiques, dades biomètriques dirigits a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d'una persona física, llevat que la recollida i el posterior tractament fossin necessaris, legítims o obligatoris o permesos per la legislació aplicable, en aquest cas seran recollides i tractades d'acord amb el que estableix en aquella. MANS UNIDES tracta dades relatives a creences religioses, en tractar-se d'una organització vinculada amb l'Església Catòlica, i exclusivament de les persones que ostenten la condició de membres. Cal disposar d'aquesta informació per al correcte funcionament intern i per complir amb els estatuts.
Les dades personals tractades per MANS UNIDES seran sempre recollides amb fins determinats, explícits i legítims i no seran tractats ulteriorment de manera incompatible amb aquests; llevat que es tractin en el futur amb fins d'arxiu en interès públic, fins d'investigació científica i històrica o fins estadístics, el que no es considera incompatible amb els fins inicials.
MANS UNIDES tractarà únicament aquelles dades personals que resultin estrictament necessàries per a la finalitat per a la qual es van recollir, és a dir, han de ser adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats.
MANS UNIDES vetllarà perquè les dades personals tractades siguin exactes i estiguin actualitzades, adoptant per a això les mesures raonables perquè se suprimeixin o rectifiquin quan es detecti que són inexactes respecte als fins per als quals es van recollir.
MANS UNIDES no conservarà les dades personals que tracti més enllà del temps necessari per als fins per als quals es van recollir, llevat obligació legal o si es conserven amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístics.
MANS UNIDES procurarà garantir la integritat i confidencialitat de les dades personals tractades, aplicant mesures tècniques o organitzatives per protegir-los de tractaments no autoritzats o il·lícits, contra la seva pèrdua, destrucció o dany accidental.
MANS UNIDES es compromet a l'acompliment dels principis abans enumerats aplicant la deguda diligència i ha de ser capaç de demostrar aquest compliment aplicant una "responsabilitat proactiva" que es tradueix en:
El responsable del tractament està obligat a aplicar mesures oportunes i eficaces i ha de poder demostrar la conformitat de les activitats de tractament amb la legislació aplicable, inclosa l'eficàcia de les mesures. Aquestes mesures han de tenir present la naturalesa, l'àmbit, el context i els caps del tractament, així com el risc per als drets i llibertats de les persones físiques. Per a això, Mans Unides realitzarà una avaluació o anàlisi de risc dels tractaments que realitzi, per tal de ponderar sobre la base d'una avaluació objectiva mitjançant la qual es determini si les operacions de tractament de dades suposen un risc i si aquest és alt, determinant així que les mesures aplicades siguin conformes a les obligacions legals.
MANS UNIDES realitzarà avaluacions d'impacte en aquells casos que preveu la legislació aplicable, és a dir, quan hi hagi una probabilitat que un determinat tractament i, de manera particular si s'utilitzen noves tecnologies, comporti un alt risc per als drets i llibertats de les persones físiques. La probabilitat que el tipus de tractament comporti riscos es valorarà atenent els següents criteris: la seva naturalesa, el seu abast i el context o els caps de el tipus de tractament. L'avaluació d'impacte incloure, en particular, les mesures, les garanties i els mecanismes previstos per mitigar el risc, garantir la protecció de les dades personals i demostrar la conformitat amb la legislació aplicable.
Per a això, s'hauran de seguir les pautes i instruccions establertes en el corresponent procediment intern.
Mans Unides, tant quan actuï com a responsable de tractament com quan actuï com a encarregat de tractament d'alguns dels seus clients, mantindrà registres de les activitats de tractament sota la seva responsabilitat.
En cas que es produeixi una incidència en el tractament de les dades personals de què sigui responsable MANS UNIDES i que pugui suposar un dany o perjudici físic, material o immaterial per a les persones físiques, com pèrdua de control sobre les seves dades personals o restricció dels seus drets, discriminació, usurpació d'identitat, pèrdues financeres, reversió no autoritzada de les pseudonimitzacions, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional o qualsevol altre perjudici econòmic o social significatiu per a la persona física titular de les dades personals, se seguiran les pautes i normes internes establertes a MANS UNIDES per a la gestió de les anomenades Violacions o Bretxes de Seguretat.
Quan es tracti d'un cas que preveu la legislació aplicable, Mans Unides de designar la figura del delegat de protecció de dades.
En la resta dels casos en què no sigui obligatòria la designació d'aquest delegat, les funcions de seguiment, control i implementació recauran en el Comitè de Seguretat.
MANS UNIDES es compromet a facilitar a l'interessat l'exercici dels seus drets reconeguts per la legislació aplicable:
Per a això, se seguiran les pautes i normes establertes en els procediments interns que regulen l'exercici de drets dels interessats.
MANS UNIDES disposa de procediments interns de contractació que regulen i estableixen les mesures concretes a prendre respecte de la contractació dels serveis de proveïdors que accedeixin a dades ocupant la figura d'encarregats de tractament, així com respecte d'aquells proveïdors que, sense ser encarregats de tractament, podrien accedir de manera accidental o accessòria a dades personals responsabilitat de MANS UNIDES. La prestació d'aquests serveis es regularà en els corresponents contractes de tractament de dades o incloent clàusules ad hoc en el contracte principal del servei.
MANS UNIDES té presència internacional, de manera que pot haver necessitat fer transferències internacionals de dades fins i tot a estats que no ofereixin la mateixa seguretat que els Estats membres de la Unió Europea o aquells reconeguts per la Comissió com a destinació segura. Per això, Mans Unides de vetllar perquè tot tractament que comporti una transferència de dades fora de la Unió o als països que no disposin d'un nivell adequat de protecció de dades, es realitzi complint amb els requisits que estableix la legislació aplicable.
Seguint els principis i normes inclosos en aquesta Política, Mans Unides desenvoluparà els oportuns procediments interns, o qualsevol altre document de suport intern, que permetin la implementació de la legislació aplicable formant així un Sistema de Gestió de Protecció de Dades. Aquests procediments o documents de suport seran d'obligat compliment per a tots els professionals de MANS UNIDES.
El delegat de protecció de dades o el Comitè de Seguretat, segons sigui el cas, serà responsable de vigilar el compliment i implementació de l'esmentat Sistema de Gestió de Protecció de Dades coordinant en tot moment amb els responsables de delegacions.
El Sistema de Gestió de Protecció de Dades s'haurà de controlar i avaluar de forma periòdica. Per a això, es realitzaran, sota la direcció i supervisió del Comitè de Seguretat (o delegat de Protecció de Dades si existís), una auditoria periòdica de l'acompliment del qual disposa aquesta Política i en la legislació aplicable en general.
D'altra banda, l'Auditoria Interna, en el marc de la seva planificació anual de revisió de tots els sistemes de Mans Unides, inclourà un apartat específic en matèria de protecció de dades amb la finalitat de controlar el compliment de la normativa a delegacions.
Els resultats obtinguts de les diferents auditories i altres controls seran reportats a l'òrgan de govern.
La Política de Protecció de Dades estarà disponible com informació documentada, es comunicarà a tots els interessats i professionals de MANS UNIDES que l'hagin de respectar i implementar. Així mateix, estarà disponible a través de portal de Transparència a la pàgina web: https://ca.manosunidas.org/politiques-procediments-normativa
