Purpose and scope of application

Noatum is committed to complying with the rules of protection of personal data that affect all processing activities for which it is controller or processor. This Privacy Policy establishes the general guidelines that are observed in such compliance.

This Noatum Privacy Policy is mandatory for all its employees and internal or external collaborators who have access to personal data.

The Privacy Policy is approved by the Security Committee and the management of Noatum, who establishes in this way the basic guidelines to be followed within the organization, while giving their consent and support to the whole in an explicit way.

Principles

Noatum processes personal data under its responsibility in accordance with the following principles:

• Lawfulness, fairness and transparency: personal data will be treated in a lawful, fair and transparent manner in relation to the data subject.
• Legitimation in the processing of personal data: personal data will only be processed when such processing is covered by data protection regulations.
• Purpose limitation: personal data will be processed for the fulfillment of specific, explicit and legitimate purposes, and will not be further processed in a manner incompatible with said purposes.
• Data minimization: personal data will be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed.
• Exactitud: los datos de carácter personal serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
• Limitación del plazo de conservación: los datos de carácter personal personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines que justificaron su tratamiento.
• Responsabilidad proactiva: Noatum será responsable del cumplimiento de los principios relativos al tratamiento de los datos exigidos por el RGPD y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrarlo.
• Atención de los derechos de los interesados: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los afectados, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
• Protección de datos desde el diseño y por defecto: Noatum promoverá la implantación del principio de protección de datos desde el diseño y por defecto de forma que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto. Asimismo, este principio se aplicará desde el diseño inicial de los sistemas de información.
• Confidencialidad e integridad: Noatum garantizará una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas
• Gestión del riesgo: la gestión de los datos de carácter personal realizada por Noatum se realizará mediante una gestión activa del riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución del objetivo principal, que es la protección de los derechos y libertades de los titulares de los datos de carácter personal que se tratan.
• Mejora continua: se revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados para aumentar la capacidad de adaptación a la constante evolución del entorno.
• Concienciación y formación: se articularán programas de formación y concienciación para los usuarios en materia de protección de datos.

<br>

Medidas de seguridad técnicas y organizativas

Noatum tratará los datos personales bajo su responsabilidad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines de los tratamientos que realice, así como los posibles riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Registro de actividades de tratamiento

Noatum mantendrá actualizado un registro de las actividades de tratamiento con datos de carácter personal de las que sea responsable o encargado, que incluirá al menos la siguiente información:

• Nombre y datos de contacto del responsable
• Fines del tratamiento
• Descripción de las categorías de interesados
• Descripción de las categorías de datos personales
• Categorías de destinatarios a los que se comuniquen los datos personales
• Transferencias de datos personales a un tercer país
• Plazos previstos para la supresión de las diferentes categorías de datos
• Descripción general de las medidas técnicas y organizativas de seguridad

Análisis de riesgos y evaluación de impacto

Antes de realizar cualquier tratamiento de datos personales se llevará a cabo un análisis de riesgos, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Se aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Noatum llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas. Si fuera necesario, consultará y solicitará autorización para llevar a cabo el tratamiento de datos personales a la Autoridad de Control correspondiente.

Violaciones de seguridad de los datos personales

En caso de violación de la seguridad de los datos personales, Noatum notificará a la Autoridad de Control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Noatum adoptará las medidas procedentes para la comunicación sin dilación indebida a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos personales, cuando sea probable que ésta entrañe un alto riesgo para sus derechos y libertades.

Noatum documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas.

Atención al ejercicio de derechos

Noatum ha establecido los procedimientos necesarios para atender las posibles solicitudes de ejercicio de derechos de los titulares de los datos personales que se encuentran bajo su responsabilidad.

<br>

Relaciones con terceros

Noatum ha establecido los controles necesarios para asegurarse de que, en sus relaciones con terceros, ya sean clientes o proveedores, se observa la normativa de protección de datos personales.

<br>

Auditoría

Noatum lleva a cabo auditorías periódicas encaminadas a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la conformidad de los tratamientos de datos personales que se realizan bajo su responsabilidad.

<br>

Contacto

Puede contactarse con el Departamento de Seguridad de la Información – Oficina de Privacidad:

Torre Auditori – Planta 13

Passeig de la Zona Franca nº111

08038 Barcelona

Phone - (+34) 932987777

Correo electrónico – dpo@noatum.com