Política de protección de datos

Todo el mundo tiene derechos en lo que respecta al tratamiento de su información personal. Durante las actividades de ISI Dublín podemos recopilar, almacenar y procesar información personal sobre el personal, los estudiantes, los tutores, las familias de acogida, los socios educativos, los clientes y los proveedores de servicios, y reconocemos la necesidad de tratar estos datos de forma adecuada y lícita. ISI Dublín se compromete a cumplir con sus obligaciones respecto a todos los datos personales que maneja.

Los tipos de datos personales que ISI Dublín puede tener que manejar incluyen detalles de empleados actuales, pasados y futuros, estudiantes, tutores, socios educativos, familias de acogida, proveedores, clientes y otras personas con las que ISI Dublín se comunica. La información, que puede conservarse en papel o en un ordenador u otros medios, está sujeta a ciertas salvaguardias legales especificadas en el Reglamento General de Protección de Datos (GDPR) (UE) 2016/679 y otros reglamentos. El GDPR impone restricciones sobre cómo ISI Dublín puede recopilar y procesar datos.

De acuerdo con el GDPR, Jen Diaz Green es la designada 'Data Protection Lead' (DPL) dentro de ISI Dublín y es responsable de todos los aspectos de la Política de Protección de Datos y de la implementación de la misma.

Esta política no forma parte del contrato de trabajo de ningún empleado y puede ser modificada en cualquier momento. Cualquier incumplimiento de esta política se tomará en serio y puede dar lugar a medidas disciplinarias que pueden llegar hasta el despido.

Finalidad y alcance de la política

Esta política establece las normas de ISI Dublín en materia de protección de datos y las condiciones legales que deben cumplirse en relación con la recogida, obtención, manipulación, tratamiento, almacenamiento, transporte y destrucción de información personal y sensible.

Si una persona considera que no se ha seguido la política con respecto a sus datos personales o a los de otras personas, debe plantear la cuestión al DPL.

Definición de los términos de protección de datos

  • Datos - Información almacenada electrónicamente, en un ordenador o en determinados sistemas de archivo en papel. Esto incluye los sistemas informáticos y los sistemas de vídeovigilancia.
  • Sujetos de los datos - A efectos del presente documento, se incluyen todas las personas vivas sobre las que ISI Dublín posee datos personales.
  • Datos personales - Datos relativos a un individuo vivo que puede ser identificado a partir de los datos (o a partir de esos datos y otra información que esté en posesión del responsable del tratamiento o que pueda llegar a estarlo). Los datos personales pueden ser fácticos (como un nombre, una dirección o una fecha de nacimiento) o pueden ser una opinión (como una evaluación del rendimiento).
  • Controladores de datos - Las personas u organizaciones que controlan y son responsables de la conservación y el uso de los datos.
  • Usuarios de datos - Empleados cuyo trabajo implica el uso de datos personales. Los usuarios de datos tienen el deber de proteger la información que manejan siguiendo en todo momento las políticas de seguridad de protección de datos de ISI Dublín.
  • Procesamiento - Realización de cualquier operación o conjunto de operaciones sobre los datos, incluyendo: -
  • Obtención, registro o conservación de datos
  • Recoger, organizar, almacenar, alterar o adaptar los datos
  • Recuperar, consultar o utilizar los datos
  • Divulgar la información o los datos transmitiéndolos, difundiéndolos o poniéndolos a disposición de cualquier otra forma
  • Alinear, combinar, ennegrecer, borrar o destruir los datos
  • Datos personales sensibles - Información sobre el origen racial o étnico de una persona, sus opiniones políticas, sus creencias religiosas o similares, su afiliación sindical, su estado de salud física o mental o su vida sexual, sus condenas penales o la presunta comisión de un delito. Los datos personales sensibles sólo pueden tratarse en condiciones estrictas y normalmente requerirán el consentimiento expreso de la persona afectada.

Principios de protección de datos

Cualquier persona que procese datos personales debe cumplir los ocho principios de buenas prácticas de obligado cumplimiento. Éstos establecen que los datos personales deben ser -

Obtenidos y procesados equitativamente

Los GDPR no pretenden impedir el tratamiento de datos personales, sino garantizar que se hace de forma justa y sin afectar negativamente a los derechos del interesado. Debe informarse al interesado de quién es el RPD, en este caso Jen Diaz Green, de la finalidad del tratamiento de los datos por parte de ISI Dublín y de las identidades de las personas a las que pueden revelarse o transferirse los datos.

Para que el tratamiento de los datos personales sea lícito, deben cumplirse determinadas condiciones. Éstas pueden incluir, entre otros requisitos, que el interesado haya dado su consentimiento al tratamiento, o que el tratamiento sea necesario para el interés legítimo del responsable del tratamiento o de la parte a la que se comunican los datos. Cuando se traten datos personales sensibles, deberá cumplirse más de una condición. En la mayoría de los casos se requerirá el consentimiento explícito del interesado para el tratamiento de dichos datos.

Conservados sólo para uno o más fines especificados, explícitos y lícitos

Los datos personales sólo pueden tratarse para los fines específicos notificados al interesado cuando se recopilaron por primera vez o para otros fines específicamente permitidos por el GDPR. Esto significa que los datos personales no deben recogerse para un fin y utilizarse para otro. Si fuera necesario cambiar la finalidad para la que se procesan los datos, el interesado deberá ser informado de la nueva finalidad antes de que se produzca cualquier procesamiento. Todos los datos personales de los empleados recogidos por ISI Dublín se utilizan para fines ordinarios de Recursos Humanos. Cuando exista la necesidad de recoger datos de los empleados para otro fin, ISI Dublín se lo notificará al empleado y, cuando proceda, obtendrá el consentimiento del empleado para dicho tratamiento.

Utilizados y divulgados únicamente de forma compatible con estos fines

Los datos personales sólo deben recopilarse en la medida en que sean necesarios para los fines específicos notificados al interesado. Cualquier dato que no sea necesario para ese fin no debe recopilarse en primer lugar.

Mantenidos a salvo y seguros

ISI Dublín y sus empleados deben garantizar que se toman las medidas de seguridad adecuadas contra el tratamiento ilegal o no autorizado de datos personales, y contra la pérdida accidental o el daño de los datos personales.

El GDPR exige a ISI Dublín que establezca procedimientos y tecnologías para mantener la seguridad de todos los datos personales. Los datos personales sólo podrán transferirse a un tercero encargado del tratamiento si éste ha aceptado cumplir dichos procedimientos y políticas o dispone de las medidas de seguridad adecuadas.

Debe mantenerse lo siguiente: -

  • Confidencialidad - Sólo las personas autorizadas a utilizar los datos pueden acceder a ellos. ISI Dublín se asegurará de que sólo las personas autorizadas tengan acceso al expediente personal de los empleados y a cualquier otro dato personal o sensible en poder de ISI Dublín. Los empleados están obligados a mantener la confidencialidad de los datos a los que tengan acceso.
  • Integridad - Los datos personales son exactos y adecuados para los fines para los que se procesan.
  • Disponibilidad - Sólo los usuarios autorizados deben poder acceder a los datos si los necesitan para fines autorizados

La política / los procedimientos de seguridad incluyen: -

  • Escritorios y armarios seguros con cerradura. - Política de escritorios despejados, todos los escritorios y armarios permanecen cerrados cuando no se utilizan. (La información personal se considera siempre confidencial) y se tratan con precauciones adicionales para garantizar que nadie pueda ver el trabajo que contiene la misma.
  • Métodos de eliminación. - Los documentos en papel deben triturarse. Todos los soportes extraíbles deben borrarse y destruirse físicamente cuando ya no se necesiten.
  • Equipos - Los usuarios de datos deben asegurarse de que los monitores individuales no muestren información confidencial a los transeúntes y de que el salvapantallas se inicie en cuanto su PC quede desatendido.
  • ISO 27001 - Se exige el cumplimiento de todas las políticas relativas a la norma ISO27001, incluidos los documentos de política de seguridad informática.

Se mantiene precisa, completa y actualizada

Los datos personales deben ser exactos y mantenerse actualizados. La información incorrecta o engañosa no es exacta, por lo que deben tomarse medidas para comprobar la exactitud de los datos personales en el momento de su recogida y posteriormente a intervalos regulares. Los datos inexactos o anticuados deben ser destruidos. Los empleados deben asegurarse de notificar al DPL y a Recursos Humanos cualquier cambio relevante en sus datos personales para que puedan actualizarse y mantenerse con precisión. Ejemplos de cambios relevantes en los datos incluirían un cambio de dirección.

Adecuado, pertinente y no excesivo

Conservados durante no más tiempo del necesario para el fin o los fines para los que se recogieron

Los datos personales no deben conservarse más tiempo del necesario para su finalidad. Para obtener orientación en relación con la conservación de datos los empleados deben ponerse en contacto con su superior. ISI Dublín tiene varias obligaciones legales de conservar ciertos datos de los empleados durante un periodo determinado. Además, ISI Dublín puede necesitar conservar datos personales durante un periodo para proteger sus intereses legítimos.

Proporcionados a los interesados según lo solicitado

El tratamiento de los datos debe ajustarse a los derechos de los interesados. Los interesados tienen derecho a: -

  • Solicitar el acceso a cualquier dato que el responsable del tratamiento tenga sobre ellos
  • Impedir el tratamiento de sus datos con fines de marketing directo
  • Solicite que se modifiquen los datos inexactos
  • Impedir el tratamiento que pueda causar o angustiar a sí mismo o a cualquier otra persona
  • Tramitación de las solicitudes de acceso del sujeto

Toda solicitud formal de un interesado sobre la información que ISI Dublín posee sobre él deberá realizarse por escrito. Cualquier empleado que reciba una solicitud por escrito con respecto a los datos en poder de ISI Dublín deberá remitirla al Responsable del Tratamiento.

Facilitar información por teléfono

Todo empleado que atienda consultas telefónicas deberá tener cuidado al revelar por teléfono cualquier información personal que obre en poder de ISI Dublín. El empleado deberá: -

Comprobar la identidad de la persona que llama para asegurarse de que la información sólo se da a una persona que tiene derecho a esa información.

Sugerir a la persona que llama que ponga su solicitud por escrito si el empleado no está seguro de la identidad de la persona que llama y en circunstancias en las que no se pueda verificar la identidad de la persona que llama.

Remitir la solicitud a su superior y/o al responsable del tratamiento de datos para obtener ayuda en situaciones difíciles. Ningún empleado debe sentirse obligado a revelar información personal.

Marketing directo

En ISI Dublín, nuestra política es no ponernos en contacto con ninguna persona potencial sin su permiso. Para cumplir con esta política, se solicita a nuestros empleados de preventa que garanticen lo siguiente: -

No llame ni envíe correos electrónicos a otra organización hasta que se confirme que tiene presencia en Internet o que ya es de dominio público con sus datos de contacto, como la dirección y el número de teléfono, publicados en la misma.

Cuando se realiza una llamada, se debe pedir permiso para obtener la información de contacto correcta, como el responsable de la toma de decisiones en materia de compras de TI. Debe mantenerse un registro de con quién habló nuestro empleado y la fecha y hora de la llamada.

Todo contacto por correo electrónico debe contener una opción de "exclusión voluntaria" claramente identificada.

No comercializamos por correo postal, texto o fax.

Todos los "Opt-Outs" deben ser respetados (telefónica o electrónicamente) borrando el contacto permanentemente.

Revisión de la política

ISI Dublín continuará revisando la eficacia de esta política para asegurarse de que está logrando sus objetivos declarados al menos una vez al año y con más frecuencia si es necesario teniendo en cuenta los cambios en la ley y los cambios organizativos o de seguridad.