1. Propòsit, abast i usuaris

Sunset Technologies SLU, en endavant, l’«Empresa» o «Sunset», s’esforça per complir amb les lleis i reglaments aplicables relacionats amb la protecció de dades personals als països on opera.

Aquesta política té per objectiu establir la política de seguretat de la informació per, en base als requisits disposats en el RGPD (Reglament General de Protecció de Dades) i la LOPDGDD (Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals), aquesta política estableix els principis bàsics pels quals l’Empresa tracta les dades personals de consumidors,  clients, proveïdors, socis comercials, empleats i altres persones, i indica les responsabilitats dels seus departaments comercials i empleats mentre tracta les dades personals.

Aquesta política s’aplica a l’Empresa i les seves subsidiàries controlades de forma directa o indirecta que realitzen negocis dins de l’Àrea Econòmica Europea (AEE) o processen les dades personals dels interessats dins de l’AEE.

Els usuaris d’aquesta política són tots els empleats, permanents o temporals, i tots els contractistes que treballen en nom de l’Empresa, així com els usuaris web que accedeixin als dominis i pàgines web de Sunset i les seves subsidiàries.

Com a punt fonamental de la política hi ha la implantació, operació i manteniment d’un SGSI (Sistema de Gestió de la Seguretat de la Informació) propi.

Aspectes bàsics de la política de seguretat de l’empresa:

  • Assegurar la confidencialitat, integritat i disponibilitat de la informació.
  • Complir tots els requisits legals aplicables.
  • Definir les funcions del responsable de seguretat, encarregat del sistema de gestió la seguretat de la informació SGSI.
  • Garantir un ús adequat de la informació de caràcter personal que l’empresa gestiona.
  • Formar, conscienciar i informar tots els empleats de les seves funcions i obligacions amb relació a la seguretat de la informació.
  • Gestionar adequadament totes les incidències ocorregudes.
  • Tenir un pla de continuïtat que permeti recuperar-se d’un desastre en el menor temps possible.
  • Millorar de forma contínua el SGSI i per tant, la seguretat de la informació de l’organització.

2. Referències

  • La llei 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD).
  • El RGPD EU 2016/679 (Reglament (EU) 2016/679 del Parlament Europeu i del Consell del 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE)
  • ISO 27001

3. Definicions

Les següents definicions de termes utilitzats en aquesta política, provenen de l’article 4 del Reglament General de Protecció de Dades de la Unió Europea:

3.1. Dadess personals

Tota informació sobre una persona física identificada o identificable, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’una persona física. Dades personals inclou l’adreça de correu electrònic d’una persona física, número de telèfon, informació biomètrica (com empremta dactilar), dades d’ubicació, adreça IP, informació d’atenció mèdica, creences religioses, número d’assegurança social, estat civil, etcètera.

3.2. Dades personals sensibles

Dades personals que són particularment sensibles en relació amb els drets i les llibertats fonamentals, ja que la divulgació d’aquestes dades podria ocasionar danys físics, pèrdues financeres, danys a la reputació, robatori d’identitat o frau o discriminació, etc. Les dades personals sensibles normalment inclouen, però no es limiten a la revelació de les dades personals d’origen racial o ètnic, opinions polítiques, conviccions religioses o filosòfiques, afiliacions sindicals, dades genètiques, dades biomètriques (empremta dactilar), dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o a l’orientació sexual d’una persona física.

3.3.Tractament

Una operació o conjunt d’operacions realitzades sobre dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió, limitació, esborrat o destrucció de les dades.

3.4. Responsable del tractament

La persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determini els fins i mitjans del tractament.

3.5. Encarregat del tractament

La persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, tracti les dades per compte del responsable del tractament.

3.6. Anonimització

Eliminar de manera irreversible la identificació de dades personals de manera que no sigui possible la vinculació directa o indirecta amb una persona física d’aquestes dades.

3.7. Autoritat de control

L’Agència Espanyola de Protecció de Dades segons defineix el GDPR a l’article 4, apartat 21, com l’autoritat pública independent establerta per un Estat membre d’acord amb el que disposa l’article 51.

4. Principis generals per el tractament de dades personals

4.1. Legalitat, imparcialitat i transparència

Les dades personals han de ser tractades de forma legal, imparcial i transparent en relació amb els interessats.

4.2. Limitació de la finalitat

Les dades personals dels interessats han de ser recollides amb finalitats determinades, explícites i legítimes, i no seran tractades ulteriorment de manera incompatible amb aquestes finalitats.

Finalitats i bases de legitimació:

Finalitats Bases legals del tractament
Mantenir el contacte i la comunicació, gestionar la possible relació contractual/pre-contractual. Relació Contractual
Remetre a clients actuals, mitjançant comunicacions electròniques, informació sobre les nostres activitats, productes i/o serveis similars als sol·licitats. Elaboració de perfilsInstal·lació de cookies tècniques. Realització d’enquestes d’opinió/satisfacció. Interès Legítim
Remetre a clients potencials, mitjançant comunicacions electròniques, informació sobre les nostres activitats, productes i/o serveis similars als sol·licitats. Instal·lació de cookies no tècniques. Participar en esdeveniments, activitats, promocions,  organitzats per Sunset i les empreses del Grup NexTReT.
Gestió de processos de selecció i dels CV rebuts a aquest efecte.		 Consentiment
Cessions derivades de normativa tributària/consumidors i usuaris, laboral i de seguretat social. Compliment d’una obligació legal
Transmissions de dades entre empreses del Grup NexTReT per a finalitats administratives internes, inclòs el tractament de dades personals de clients o empleats, segons el Considerant 48 RGPD. Interès Legítim
Quan la legitimació es basi en el consentiment podrà retirar aquest consentiment en qualsevol moment remetent-nos un e-mail en tal sentit a rgpd@nextret.net. Aquesta retirada no condicionarà el tractament de les seves dades per a la resta de les finalitats descrites.

Quan el tractament de dades personals tingui com a base de legitimació el nostre interès legítim, considerarem que aquest és proporcionat i suposa un impacte mínim en l’esfera de privacitat de l’interessat, però sempre prevaldran, sobre el nostre interès legítim, els interessos, drets o llibertats de l’interessat, per la qual cosa, si no desitja que tractem les seves dades per a aquestes finalitats remeti’ns per favor un e-mail en tal sentit a rgpd@nextret.net i així ho farem.

4.3. Minimització de dades

Les dades personals dels interessats han de ser adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades. El responsable de seguretat ha d’aplicar anonimització o pseudonimització a les dades personals si és possible per reduir el risc concernent als interessats.

4.4. Exactitud

Les dades personals dels interessats han de ser exactes i, si fos necessari, actualitzades; s’adoptaran totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.

4.5. Limitació del termini de conservació

Les dades personals no han de ser conservades més del necessari per a les finalitats per a les quals les dades personals són tractades, d’acord amb el RGPD i la LOPDGDD.

Les dades personals facilitades pels usuaris interessats les conservarem mentre es mantingui la relació contractual, precontractual o comercial i, un cop acabades aquestes, mentre la persona interessada no demani la seva supressió. Fins i tot sol·licitada la supressió, podrem mantenir-los durant el temps necessari i limitant el seu tractament, únicament per a: – Complir amb les obligacions legals/contractuals a què estem sotmesos, – I/o durant els terminis legals previstos per a la prescripció de qualsevol responsabilitat per la nostra part, – I/o l’exercici o la defensa de reclamacions derivades de la relació mantinguda amb la persona interessat/ada.

En coordinació amb els criteris anteriors, la supressió de dades personals bé en registres informàtics, bé en paper, es podrà dur a terme, a criteri de l’organització, en funció de necessitats logístiques i/o d’espai d’emmagatzematge que facin aconsellable suprimir informació o documentació.

4.6. Integritat i confidencialitat

Tenint en compte l’estat de la tecnologia i altres mesures de seguretat disponibles, el cost d’implementació i la probabilitat i gravetat dels riscos, s’han d’aplicar mesures tècniques o organitzatives apropiades per tractar les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental.

4.7. Responsabilitat proactiva

Els responsables del tractament seran responsables del compliment dels principis descrits anteriorment i seran capaços de demostrar-ho.

5. Política de Seguretat

5.1. Objetius

La política de seguretat de l’Empresa té per objectiu marcar les pautes d’alt nivell a seguir perquè tots els tractaments de dades de caràcter personal es realitzin de forma segura i únicament per personal autoritzat, així com protegir la informació de l’organització, davant possibles pèrdues de confidencialitat, integritat i/o disponibilitat.

5.2. Abast

L’abast d’aquesta política se circumscriu a tots els departaments de l’empresa.

5.3. Planificació

Les actuacions necessàries per complir amb la declaració de la política de seguretat passen per la implantació, operació i manteniment d’un SGSI (Sistema de Gestió de la Seguretat de la Informació), que en tot moment està alineat amb aquesta política.

En la fase de planificació s’inclou com a punt fonamental un estudi de la seguretat de la companyia a través d’un anàlisi de riscos i impacte i l’establiment del seu corresponent pla de tractament de riscos no acceptats per l’organització.

La implantació del SGSI és responsabilitat principal del responsable del tractament (o responsable del SGSI) recolzat en tot moment per personal tècnic i amb el total suport de gerència.

En base als resultats obtinguts en la fase de planificació s’implanten determinats controls de seguretat, a més d’operar els procediments del SGSI per donar compliment al RGPD i LOPDGDD.

5.4. Revisió

La política de seguretat de la informació i el SGSI són revisats regularment a intervals planificats o si s’esdevenen canvis significatius per assegurar-hi la contínua idoneïtat, eficàcia i efectivitat. De forma genèrica són revisats anualment juntament amb els processos d’auditoria interna del SGSI.

Existeixen procediments de monitoratge que aporten informació sobre el correcte acompliment del SGSI.

La direcció també juga un important paper en la revisió del sistema, realitzant una profunda anàlisi del sistema i trobant possibles millores i deficiències.

Amb totes aquestes dades d’entrada, es realitza una revisió global per part del comitè de seguretat.

5.5. Millora

Les possibles millores de la política de seguretat de la informació i del SGSI són establertes bé durant les fases de revisió o bé en base a aportacions que es considerin interessants tant de personal de l’empresa com de personal extern.

Aquestes millores són avaluades i un cop estudiada la seva viabilitat, són implementades, operades i mantingudes. Tot el SGSI s’emmarca dins del cicle de Demming (cicle PDCA), la seva implantació i operació, la seva revisió i la seva posterior millora. Tot això aplicat a la seguretat de la informació.

6. Directrius de tractament

Les dades personals han de ser tractades únicament i exclusivament, només quan sigui autoritzat de forma explícita per l’empresa.

6.1. Avís als interessats

En el moment de la recollida o abans de recollir dades personals per a qualsevol tipus d’activitat es procedirà a informar els interessats sobre:

  • Legitimació (quines dades recollim).
  • La finalitat (amb quin objectiu).
  • Retenció (Temps que es guardaran les dades).
  • Drets de l’usuari (Quins són els drets i com exercir-los).
  • On estaran allotjades les dades.
  • Reclamacions (On i com presentar reclamacions).

Quan les dades personals són compartides amb un tercer, s’haurà d’assegurar que els interessats n’han estat notificats mitjançant un avís de privacitat i que el tercer compleix amb el que estableix el RGPD i la LOPDGDD.

6.2. Obtenció de consentiment

En el moment de la recollida o abans de recollir dades personals per a qualsevol tipus d’activitat s’haurà de procedir a demanar el consentiment explícit de l’interessat per a cadascuna de les finalitats del tractament.

Això es realitzarà sempre que sigui possible, mitjançant un formulari en el qual es reflectiran cadascuna de les finalitats del tractament juntament amb unes caselles de verificació, on l’interessat haurà d’indicar «si» o «no», a la sol·licitud del consentiment. En el cas que l’usuari no realitzi una acció afirmativa, indicant clarament l’opció «si», s’entendrà que no consent la recollida i tractament.

7. Organització i responsabilitats

La responsabilitat de garantir el tractament adequat de les dades personals recau en tots els empleats de l’empresa, així com tercers que intervinguin en aquest tractament.

El comitè de seguretat i la direcció de l’empresa, prendran decisions i aprovaran les estratègies generals de l’ empresa en temes de protecció de dades personals i podran delegar funcions específiques en tercers amb l’objectiu de garantir un tractament adequat.

8. Tractament transfronterer de dades personals

No es realitza tractament transfronterer de dades de caràcter personal.

9. Gestió de Proveïdors

El departament que contracti un nou subministrador haurà de tenir en compte els possibles riscos de seguretat derivats del servei prestat, per a això se li exigirà que compleixi amb el RGPD i la LOPDGDD.

En el cas que aquest proveïdor hagi de realitzar tasques de tractament de dades personals, haurà de signar un contracte de tractament de dades personals «CONTRACTE DE PRESTACIÓ DE SERVEIS I ENCÀRREC DE TRACTAMENT DE DADES PERSONALS».

10. Gestión d’Incidències

Tota incidència en matèria de seguretat s’haurà de comunicar, seguint el procediment establert. Aquesta notificació serà realitzada de forma immediata al seu superior jeràrquic o al responsable de seguretat de la informació o qui delegui en el seu nom. Un cop rebuda serà l’encarregat de donar-li seguiment, completar les notificacions establertes en el procediment corresponent, establir les accions per a la seva correcció.

11. Continuïtat de Negoci

Es contrarestaran les interrupcions de les activitats empresarials i es protegiran els processos crítics de negoci dels efectes derivats de fallades importants o catastròfiques dels sistemes d’informació.

La principal garantia de continuïtat del negoci es basa en les còpies de seguretat, el procés i polítiques del procediment de BACKUP.

Tots els empleats col·laboraran en l’oportuna represa de tots els serveis crítics per a l’Empresa en cas d’una contingència greu, ajudant d’aquesta manera que es restableixin la majoria dels serveis en el mínim temps possible.

12. Compliment Legal

S’evitarà qualsevol tipus d’incompliment de les lleis o obligacions legals, reglamentàries o contractuals i dels requisits de seguretat que afectin els sistemes d’informació i les dades de caràcter personal de l’empresa.

13. Ecercici de drets

Com a interessat pot, quan escaiguin, exercitar els seus drets d’accés, rectificació, supressió, de limitació i oposició al seu tractament, així com altres drets, a l’adreça de correu postal: Rambla Catalunya, 33, 08007-Barcelona, o per correu electrònic a: rgpd@nextret.net; en ambdós casos mitjançant sol·licitud escrita i signada adjuntant còpia del DNI o passaport o un altre document vàlid que l’identifiqui. En cas de modificació de les seves dades ho haurà de notificar a la mateixa direcció, declinant aquesta entitat tota responsabilitat en cas de no fer-ho.

  • Dret d’accés: Pot preguntar-nos quines dades personals estem tractant fins i tot sol·licitar-nos una còpia d’aquestes.
  • Dret de rectificació: Pot sol·licitar-nos la rectificació de les dades personals inexactes o que completem les que siguin incompletes, inclusivament mitjançant una declaració addicional.
  • Dret de supressió (dret a l’oblit): Pot sol·licitar-nos la supressió de les seves dades personals quan: no siguin necessàries per a les finalitats per a les quals van ser recollides, retiri el seu consentiment, hi hagi hagut un tractament il·lícit dels mateixos o per compliment d’una obligació legal.
  • Dret a la limitació del tractament: Pot sol·licitar-nos la limitació del tractament de les seves dades, cas en el qual únicament les conservarem per a l’exercici o la defensa de reclamacions.
  • Dret d’oposició: Pot oposar-se al tractament que es faci de les seves dades si aquest tractament es base en l’interès legítim del responsable de tractament o és per a fins publicitaris.
  • Dret a la portabilitat: Pot rebre les seves dades personals, en un format estructurat, d’ús comú i lectura mecànica, per transmetre’ls a un altre responsable del tractament sempre que el tractament s’efectuï per mitjans automatitzats i quan el tractament es basi en el consentiment o un contracte.

Una vegada rebuda qualsevol de les anteriors sol·licituds li respondrem en els terminis legalment establerts.

Si considerés que les seves dades personals no han estat tractades adequadament segons la legislació vigent, pot contactar amb l’Agència Espanyola de Protecció de Dades i presentar una reclamació davant l’Autoritat de Control: www.aepd.es.

14. Validesa

Aquesta política és vàlida a partir de 09/02/2023.