Política de Protección de Datos
CIRSA desea poner en conocimiento de sus empleados, trabajadores externos, socios comerciales, proveedores, clientes y en general a cualquier otro tipo de usuario que vaya a utilizar este canal (en adelante, los “Interesados”) la presente información adicional sobre protección de datos (en adelante, “Política de Protección de Datos”), en la que proporcionamos de manera transparente y sencilla toda la información legalmente exigida en relación con el tratamiento de gestión del sistema de información de denuncias internas, las finalidades para las cuales tratamos sus datos y los derechos que pueden ejercer. La presente Política de Protección de Datos estará siempre disponible en la web www.cirsa.com.
1. ¿QUIÉNES SON LOS RESPONSABLES DE TUS DATOS Y COMO PUEDES CONTACTAR CON NOSOTROS?
La gestión del sistema de información de denuncias internas conlleva necesariamente el tratamiento de los datos de carácter personal por parte de (en adelante, “CIRSA”):
- A nivel global y en particular para España, CIRSA ENTERPRISES, S.L (en adelante “CIRSA”), constituida conforme a la legislación española, titular del CIF número B-87.959.649 con domicilio social en Calle Fermina Sevillano, número 5-7, 28022 Madrid (Madrid) e inscrita en el Registro Mercantil de Madrid en el Tomo 36.763, Folio 13, Hoja M-658.665.
- A nivel internacional, la empresa matriz de cada país según corresponda en virtud del origen de la Alerta formulada cuando resulte necesario para investigar con mayor detalle los hechos alertados, adoptar medidas disciplinarias y/o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Puedes obtener más información sobre la presencia a nivel internacional de Grupo CIRSA en https://www.cirsa.com/cirsa/presencia-internacional/.
Las sociedades mencionadas actúan como corresponsables del tratamiento de tus datos de carácter personal, pues determinan y efectúan conjuntamente el tratamiento de la información personal para la gestión del sistema de información de denuncias internas.
Si tienes alguna duda acerca de los tratamientos que realizamos de tus datos personales, puedes ponerte en contacto con nuestro Delegado de Protección de Datos a través del correo electrónico: protecciondedatos@cirsa.com.
2. ¿QUÉ ES UN DATO DE CARÁCTER PERSONAL Y UN TRATAMIENTO?
Dato de carácter personal es toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Un tratamiento de datos de carácter personal es toda operación o conjunto de operaciones que realizamos sobre tus datos personales, como, por ejemplo, la recogida, registro, conservación, utilización y comunicación de sus datos.
3. ¿QUÉ DATOS PERSONALES RECOPILAMOS Y A TRAVÉS DE QUÉ VÍA LOS CAPTAMOS?
Únicamente podremos recopilar datos personales sobre ti e identificarte en aquellos supuestos en que nos reveles tu identidad. En estos casos, CIRSA podrá recabar a través del sistema de información de denuncias internas la siguiente información:
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono
- Número de DNI, NIE o Pasaporte
- Contenido de la denuncia efectuada
- Toda la información que puedas proporcionar al completar el formulario del canal de denuncias.
En aquellos supuestos en que los Interesados realicen las denuncias de forma anónima, CIRSA no podrá identificar a los mismos y, por tanto, no tratará ningún dato de carácter personal de los Interesados.
4. ¿QUÉ DERECHOS PUEDE EJERCER?
A) Derecho de acceso
Tiene derecho a saber si CIRSA está tratando tus datos personales y, en tal caso, conocer qué datos trata.
B) Derecho de rectificación
Tienes derecho a modificar aquellos datos tuyos que sean inexactos o incompletos. Para ello deberás indicar qué datos deseas modificar y acreditarlos adecuadamente.
C) Derecho de oposición
En los supuestos legalmente previstos puedes oponerte en cualquier momento, por motivos relacionados con tu situación particular, a que tratemos tus datos. Recuerda que tu oposición a la realización de dichos tratamientos conllevará la imposibilidad de que CIRSA pueda gestionar dichas peticiones.
D) Derecho de supresión
Tienes derecho a cancelar tus datos personales. Esto no significa que tus datos sean totalmente eliminados, sino que tus datos se conservarán bloqueados de manera que se impida su tratamiento, sin perjuicio de su puesta a disposición de las administraciones públicas, jueces y tribunales para la atención de posibles responsabilidades que hayan surgido como consecuencia del tratamiento durante el plazo de prescripción de estas últimas.
E) Derecho a la portabilidad de datos
Tienes derecho a recibir y/o a transferir a otro responsable del tratamiento diferente de CIRSA aquellos datos personales que te incumban y que nos hayas facilitado.
F) Derecho a la limitación en el tratamiento
Tienes derecho a solicitarnos que suspendamos el tratamiento de tus datos cuando (i) hayas impugnado la exactitud de tus datos, mientras CIRSA verifica dicha exactitud; o (ii) hayas ejercido tu derecho de oposición al tratamiento de tus datos, mientras se verifica si los motivos legítimos de CIRSA prevalecen sobre los tuyos como Interesado. Igualmente, este derecho te permite solicitar a CIRSA que conserve tus datos personales cuando (i) el tratamiento de datos sea ilícito y como Interesado te opongas a la supresión de tus datos, solicitando en su lugar una limitación de su uso; o (ii) CIRSA ya no necesite tus datos personales para los fines del tratamiento, pero los necesite para la formulación, ejercicio, o defensa de reclamaciones.
Podrás ejercer tus derechos mandándonos tu petición a través de tu perfil de usuario creado en el propio buzón de información de denuncias internas. Asimismo, te informamos de que, en el caso de que consideres que CIRSA no ha satisfecho correctamente el ejercicio de tus derechos podrás presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), dirigiéndote a su página web http://www.aepd.es.
5. ¿QUÉ TRATAMIENTOS REALIZAMOS CON TUS DATOS?
Para poder informarte de forma transparente y con detalle sobre las finalidades para las cuales tratamos tus datos hemos procedido a separar la información relativa a cada tratamiento en cuadros independientes. Así, podrás encontrar toda la información específica del tratamiento que realizamos de tus datos en su correspondiente cuadro de forma individualizada. El cuadro descriptivo recoge la siguiente información:
¿Para qué finalidades tratamos tus datos?
En esta columna explicamos para qué finalidades tratamos tus datos personales.
¿Cuál es la base legal que nos legitima para el tratamiento de tus datos?
Esta columna explica el fundamento o justificación legal que nos permite tratar tus datos personales de forma lícita. La normativa de protección de datos requiere que realicemos el tratamiento de tus datos sobre una base o justificación legal que legitime dicho tratamiento. Así, para tratar tu información personal nos podemos basar en distintas bases o justificaciones legales dependiendo del tratamiento que llevemos a cabo de tus datos. Las bases legales para el tratamiento de tus datos personales pueden ser:
- Interés legítimo
- La ejecución del contrato
- El cumplimiento de una misión realizada en interés público
- El cumplimiento por parte de CIRSA de una obligación legal
- Interés vital
- Tu consentimiento
¿Durante cuánto tiempo conservamos tus datos?
En esta columna se informa de manera orientativa cuánto tiempo se conservarán tus datos. El tiempo de conservación dependerá en todo caso del tratamiento que se lleve a cabo sobre tu información personal. Debes tener en cuenta que determinada normativa nos puede obligar a conservar determinados datos de los Interesados durante un tiempo determinado.
A continuación, encontrarás descritos con mayor detalle el tratamiento que CIRSA realiza de tus datos personales:
Gestión del sistema de información de denuncias internas
¿Para qué finalidades tratamos tus datos?
- Tramitar correctamente las comunicaciones, confirmar su recepción y responder en el plazo legalmente estipulado.
- Garantizar una protección adecuada a los Interesados que informen sobre acciones u omisiones contrarias a la ley o al convenio colectivo que resulte de aplicación.
- Tener un libro-registro de las informaciones recibidas y de las investigaciones internas que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad.
- Tener conocimiento e investigar la comisión, tanto en el seno de la corporación como en la actuación de terceros contratados por la misma, de actos o conductas contrarias a la ley o al convenio colectivo que resulte de aplicación.
- Remitir la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, remitirlo a la Fiscalía Europea.
- Cumplir con las obligaciones legalmente exigibles a CIRSA.
¿Sobre qué base legal tratamos tus datos?
El cumplimiento de una obligación legal aplicable al Responsable del tratamiento. En concreto:
- La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción;
- La Ley Orgánica 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y;
- La Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.
¿Durante cuánto tiempo conservamos tus datos personales?
- Los datos personales del Interesado serán tratados únicamente durante el plazo de tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. A excepción de los que: i) no sean necesarios para el conocimiento e investigación; ii) no sean veraces; iii) se refieran a conductas que no están incluidas en el ámbito de aplicación de la Ley y/o; iv) se encuentren incluidos dentro de las categorías especiales de datos; que se procederán a suprimir de forma inmediata.
- Con carácter general, no podrá ser superior a tres (3) meses a contar desde la recepción de la comunicación o, si no se remitió acuse de recibo, a tres (3) meses a partir del vencimiento del plazo de siete (7) días después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otro tres (3) meses adicionales. Transcurrido el plazo sin que se hubiesen iniciado actuaciones de investigación, se procederá a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. En este caso, las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada.
- En otro sentido, se conservarán en el libro-registro durante el periodo que sea necesario y proporcionado a efectos de cumplir con la normativa aplicable y, en ningún caso, durante un periodo superior a diez (10) años.
6. ¿A QUIÉN COMUNICAMOS TUS DATOS?
CIRSA podrá comunicar tus datos, previo requerimiento legal o base que legitime la comunicación a:
- Responsable del Sistema y a quién lo gestione directamente
- Responsable de recursos humanos u órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias
- Responsable de los servicios jurídicos de la entidad si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación
- Delegado de protección de datos
- Asesores legales, peritos, empresas de ciberseguridad y/o otros terceros necesarios para llevar a cabo las investigaciones oportunas para discernir los hechos denunciados por los Interesados
- Ministerio Fiscal
- Fiscalía Europea
- Juzgados y Tribunales
- Organismos de Gobierno y Administración Pública
- Fuerzas y Cuerpos de Seguridad del Estado
7. ¿QUIÉN PUEDE ACCEDER A TUS DATOS?
CIRSA te informa que trabajamos con terceros, en concreto, proveedores de servicios necesarios para el correcto desarrollo del sistema de información de denuncias interno. Estos proveedores de servicio pueden, en ejercicio de su actividad, tener acceso a tus datos. Este acceso no constituye una cesión de datos, sino un acceso en calidad de encargado de tratamiento, figura regulada y prevista en el RGPD. En todo caso, te informamos que CIRSA vela por tus datos y, por tanto, ha verificado que estos proveedores ofrecen un nivel de seguridad adecuado y velan por la protección de los derechos y libertades de los Interesados.
8. ¿ESTÁN TUS DATOS SEGUROS?
Con el fin de asegurar un procesamiento justo y transparente de tu información personal, adoptaremos los procedimientos adecuados que incluirán la implementación de medidas técnicas y organizativas que tengan en cuenta el posible riesgo y corrijan cualquier impresión identificada en los datos personales tratados, de modo que el riesgo de cualquier error de minimice, tratando tus datos de manera justa y segura.
Igualmente, nos aseguraremos de que, nuestros proveedores de servicios también gozan de estándares de seguridad adecuados para la protección de los datos de carácter personal respecto de los cuales tengan o puedan llegar a tener acceso, en atención con la legislación de protección de datos aplicable vigente en cada momento.
9. CAMBIOS EN LA PRESENTE POLÍTICA DE PROTECCIÓN DE DATOS
La presente Política de Protección de Datos podrá variar con el tiempo debido a los posibles cambios de criterio seguidos por la autoridad de control competente en materia de protección de datos en cada momento. CIRSA se reserva por tanto el derecho a modificar la presente Política de Protección de Datos para poder adaptarla a dichos criterios, así como a novedades jurisprudenciales o legislativas.
Última versión: 13 de junio de 2023.
