INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018

CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 1 de 9

INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE

CLIENTES Y PROVEEDORES
DOCUMENTO Nº I-GP-06

REVISADO APROBADO
COPIA Nº: _______

ASIGNADA A: _______

FECHA: _______

Fdo.: Jesús Raúl Eulogio Fdo.: Jesús Raúl Eulogio

Fecha: 28/05/2018 Fecha: 28/05/2018

GESTIÓN PULIDO INSTRUCCIÓN DE PROTECCIÓN DE

DATOS DE CLIENTES Y PROVEEDORES

HOJA DE REGISTRO DE MODIFICACIONES

REVISIÓN FECHA EMISIÓN INICIAL

0 MARZO 2011 REVISIÓN OHSAS

1 ABRIL 2013 REVISIÓN DERECHOS ARCO2478

2 ABRIL 2015 REVISIÓN OHSAS 18001:2007

28/05/2018 ADAPTACIÓN RGPD

3
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 2 de 9

ÍNDICE
1. OBJETO

2. ALCANCE

3. DOCUMENTACIÓN DE REFERENCIA

4. RESPONSABLE DEL FICHERO

5. RECOGIDA Y TRATAMIENTO DE DATOS

6. ATENCIÓN A LOS DERECHOS DE LOS CIUDADANOS

7. DOCUMENTO DE SEGURIDAD

8. CONSIDERACIONES DE SEGURIDAD DE LA INFORMACIÓN DE LA COMPAÑÍA

9. FORMATOS
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 3 de 9

1. OBJETO

Cumplir con la Legislación vigente en el campo de la Ley de Protección de datos.

2. ALCANCE

El presente documento viene referido al personal de GESTIÓN PULIDO del Departamento de

Administración y Ventas y a todo personal que realice tareas para apoyar a este departamento en
cuanto a las responsabilidades que afectan a la ejecución de compras a proveedores y ventas a clientes.

3. DOCUMENTACIÓN DE REFERENCIA

Este documento está basado en las directrices recogidas en:

- Manual de Calidad, Medio Ambiente y Seguridad y Salud en el trabajo de GESTIÓN PULIDO

- Procedimientos de GESTIÓN PULIDO

- Instrucciones de GESTIÓN PULIDO

- Norma ISO 9001:2015

- Norma ISO 14001:2015

- Norma ISO 18001:2007

4. RESPONSABLE DEL FICHERO

El Responsable de un fichero o un tratamiento es la entidad persona o el órgano administrativo que

decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. En la
Compañía Gestión Pulido dichas funciones recaen sobre la Jefa del Departamento de Administración
y Ventas.

Sobre el Responsable del Fichero recaen las principales obligaciones establecidas por la LOPD y le
corresponden velar por el cumplimiento de la Ley en su organización. El Responsable debe:

 Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a
su inscripción
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 4 de 9

 Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y
tratados de modo proporcional a la finalidad para la que fueron recabados

 Garantizar el cumplimiento de los deberes de secreto y seguridad

 Informar a los titulares de los datos personales en la recogida de éstos.

 Obtener el consentimiento para el tratamiento de datos personales.

 Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso,

rectificación y cancelación.

 Asegurarse que en las relaciones con terceros que les presten servicios, que comporten
acceso a datos personales, se cumpla lo dispuesto en la LOPD.

 Cumplir cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

Para el sistema del sistema integrado no se considera necesario la inclusión de la figura del
Encargado del Fichero. Ya que la propia empresa gestionará los datos de sus clientes y
empleados.

5. RECOGIDA Y TRATAMIENTO DE DATOS

Se preparará un formato donde el Responsable del Fichero se asegure que se cumplan los siguientes
requisitos. Éste Formato será el I-GP-06-01.

 Toda persona debe conocer para que se utilizan sus datos.

 Debe conocer que existe un fichero o un tratamiento con sus datos.

 Se debe indicar el responsable del fichero y su dirección o la de su representante.

Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero y los
tratamientos que se realizan con esos datos.

Deberá quedar constancia del consentimiento de la cesión de esos datos según el siguiente artículo:

El artículo 3.h de la Ley orgánica 15/1999 define el consentimiento como “toda manifestación de
voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen”

El consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos.
En este caso será preciso otorgar al afectado un plazo de treinta días para manifestar su negativa al
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 5 de 9

tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente
el tratamiento de sus datos personales. El afectado debe disponer de un medio sencillo y gratuito para
manifestar su negativa su negativa al tratamiento,

6. ATENCIÓN DE LOS DERECHOS DE LOS CIUDADANOS

El titular de los datos que se tratan tiene derecho gratuitamente a solicitar y obtener información de
sus datos de carácter personal sometidos a tratamiento, y del origen de dichos datos así como las
comunicaciones realizadas o que se prevén hacer de los mismos. Los llamados derechos ARCO
forman parte del contenido esencial del derecho fundamental a la protección de datos. Mediante su
ejercicio el interesado, la persona cuyos datos se tratan, puede ejercer control sobre los
tratamientos efectivamente realizados por el responsable.

Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujeto a plazos. Por tanto
es necesario establecer procedimientos para su satisfacción. Deben tenerse en cuenta los criterios
que se indican a continuación:

- Derecho de Acceso:

 Resolución: Debe responderse en un mes. Su denegación debe motivarse y

procede indicar que cabe invocar la tutela de la Agencia Española de Protección
de Datos.

 Justificación: No, salvo si ha ejercitado el derecho en los últimos 12 meses.

 Plazo: 10 días hábiles.

- Derecho de Rectificación:

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos.

 Justificación: Debe indicarse el dato a rectificar y la causa que lo justifica,

aportando documentación.

 Plazo: 10 días hábiles.

- Derecho de Cancelación:
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 6 de 9

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos.

 Justificación: Debe indicarse el dato a cancelar y la causa que lo justifica,

aportando documentación.

 Plazo: 10 días hábiles.

- Derecho de Oposición:

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Datos.

 Justificación: Concurrencia de un motivo legítimo y fundado, referido a su

concreta situación personal, que lo justifique, siempre que una ley no disponga lo
contrario. Basta ejercer el derecho cuando se trate de datos utilizados con fines
de publicidad o prospección comercial. Cabe oposición a las decisiones basadas
únicamente en un tratamiento automatizado de datos, aunque el tratamiento es
posible si existe una relación contractual que lo justifique

 Plazo:10 días hábiles.

Dispondremos de un formato específico I-GP-06-06 para que los ciudadanos o empresas puedan
ejercer su derecho al Acceso, Rectificación, Cancelación y Oposición. Se dispondrá de él en el
departamento de Administración y ventas. Informaremos en el formato I-GP-06-01 de estos
derechos.

7. EL DOCUMENTO DE SEGURIDAD

Es un documento interno de la organización, en nuestro caso denominará LOPD-01, que debe

mantenerse siempre actualizado, Disponer del documento de seguridad es una obligación para
todos los responsables de ficheros y en su caso para los encargados del tratamiento, con
independencia del nivel de seguridad que sea necesario aplicar.

Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:

 Ámbitos de aplicación: Especificación detallada de todos los recursos protegidos.

 Medidas, normas y procedimientos, reglas y estándares de seguridad.

 Funciones y obligaciones del personal.

 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 7 de 9

8. CONSIDERACIONES DE SEGURIDAD DE LA INFORMACIÓN DE LA COMPAÑÍA

Consideramos que la información de gestiona la Empresa Gestión Pulido se considera de NIVEL

BÁSICO ya que los datos se utilizan con la única finalidad de realizar transferencias dinerarias a
entidades de los que los afectados forman parte de la red de distribución de la empresa Gestión
Pulido.

Para ello será necesario tener en cuentas las siguientes consideraciones:

 Personal: Funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios

claramente definitivas y documentadas. Definición de las funciones de control y autorizaciones
delegadas por el responsable. Difusión entre el personal de las normas que les afecten y de las
consecuencias por su incumplimiento.

 Incidencias: Registro de incidencias: Tipo, momento de su detección, persona que la notifica, efectos
y medidas correctoras. Procedimientos de notificación y gestión de incidencias. Será el formato I-
GP-06-02

 Control de Accesos: Relación actualizada de usuarios y accesos actualizados. Control de accesos

permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o
recursos con derechos distintos a los autorizados. Concesión de permisos de acceso sólo por
personal autorizados. Mismas condiciones para personal ajeno con acceso a los recursos de datos.
Con el formato I-GP-06-03

 Identificación y autentificación: Identificación y autentificación personalizada. Procedimiento de

asignación y distribución de contraseñas. Esta función la desempeña el apoyo de informática.

 Gestión de soportes: Inventario de soportes. Identificación del tipo de información que contienen, o
sistema de etiquetado. Acceso restringido al lugar de almacenamiento. Las copias de seguridad se
realizan en dos dispositivos bajo el control de la Jefa del Departamento de Administración y Ventas
el primero y un segundo en el ordenador del Ingeniero del Departamento de Mantenimiento. Para
ello tendremos un formato I-GP-06-04 de Inventario de dispositivos para copias de seguridad, donde
tendremos registrados todos esos dispositivos donde se guardan datos. En el departamento de
Administración y Ventas se hace una copia al día a la hora de comer, en el Departamento de
Mantenimiento al menos una cada dos meses quedando registrada la fecha de la copia en el
formato I-GP-06-05.
 INSTRUCCIÓN DE PROTECCIÓN DE DATOS DE MAYO 2018
CLIENTES Y PROVEEDORES
REV. 4

I-GP-06 Página 8 de 9

 Copias de respaldo: Hay un sistemas de copias de seguridad en la tienda que hacen copias de
seguridad a la hora de comer y una copia en el servidor por la noche. Las copias que se hacen con
disco duro externo se apunta la fecha.

9. FORMATOS

- Recogida de datos de clientes (I-GP-06/01)

- Registro de Incidencias (I-GP-06/02), queda recogido en Evaluación de proveedores y

subcontratas (P-GP-14/07).

- Control de accesos (I-GP-06/03)

- Inventario de dispositivos para copias de seguridad (I-GP-06/04)

- Control de fechas de copias de seguridad (I-GP-06/05)

- Control de Acceso, Rectificación, Cancelación y Oposición (I-GP-06/06)

- Formulario de datos de los clientes (I-GP-06/07)

- Formulario clausulas extra asesoría (I-GP-06/08)

- Aceptación cesión de datos de clientes (I-GP-06/09)