REGISTRO DE ACTIVIDADES COMO RESPONSABLE DEL TRATAMIENTO
- 1. Identificación de la organización Responsable del tratamiento
De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la organización Responsable del tratamiento es quien determina los fines y los medios del tratamiento de datos personales (Ficheros).
| Nombre fiscal | Colegio Oficial de Agentes de la Propiedad Inmobiliaria de Granada |
| NIF | Q1875004B |
| Actividad | Colegio Profesional |
| Dirección | C/ Maestro Montero nº 23 -18004- Granada. |
| Teléfono | 958523489 |
| info@apigranada.com | |
| Marca comercial | API Granada |
| Web | apigranada.com |
| E-mail Notificación AEPD | delegadodeprotecciondedatos@dataevalua.com |
| E-mail ejercicio derechos | delegadodeprotecciondedatos@dataevalua.com |
| Representante legal | Francisco Javier García-Valdecasas y Alex |
| Número empleados | 1 |
2. Identificación del Delegado de protección de datos (DPO)
| Nombre | Evaluadores de datos, S.L. |
| Dirección | C/Periodista Fernando Gómez de la Cruz, 61, P1, oficina 12 cetic |
| Nif | B18934620 |
| Teléfono | 958958618 |
| delegadodeprotecciondedatos@dataevalua.com | |
| Web | dataevalua.com |
- 3. Identificación de los tratamientos de datos personales tratados por cuenta propia
Un fichero es un conjunto estructurado de datos personales accesibles con arreglo a criterios determinados y susceptibles de tratamiento para un fin específico.
| Fichero | Descripción |
| 1 Laboral | Gestión laboral de los empleados de la entidad, recursos humanos. |
| 2 Colegiados | Tramitar el alta de los colegiados así como para la gestión que el Colegio presta a los mismos |
| 3 Punto de Información catastral | Gestión de acceso a datos catastrales a través de una intermediación con el ciudadano |
| 4 Propietarios de inmuebles | Gestión de datos de propietarios de inmuebles |
| 5 Curriculums | Gestión de candidatos a empleados |
| 6 Contactos | Comunicación, información y gestión sobre las actividades y servicios . Incluye contactos web y redes sociales |
| 7 Registro de jornada laboral | Registro horario de la jornada laboral para dar cumplimiento al RDL 8/2019, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo |
| 8 Peritos | Tramitar el alta de los peritos así como para la gestión que el colegio presta a los mismos |
- 4. Registro de las actividades del tratamiento
De conformidad con el artículo 30 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la Organización deberá llevar y conservar actualizado un Registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en formato electrónico, que contenga:
- Nombre y datos de contacto del Responsable del tratamiento y, en su caso, del Corresponsable del tratamiento, del Representante del Responsable y del Delegado de protección de datos (DPO).
- Fines del tratamiento.
- Descripción de las categorías de interesados.
- Descripción de las categorías de datos.
- Categorías de Destinatarios.
- Transferencias de datos a terceros países, con la identificación de los mismos y documentación de garantías adecuadas.
- Cuando sea posible:
- Plazos previstos para la supresión de las diferentes categorías de datos.
- Descripción general de las medidas técnicas y organizativas de seguridad.
Los Responsables del tratamiento, o sus Representantes, deberán poner a disposición de la Autoridad de control este Registro de actividades, cuando esta lo solicite.
Este Registro se ha documentado para cada uno de los Ficheros descritos en el apartado 2 y se detallan a continuación. Al final del documento se detalla una descripción general de las medidas técnicas y organizativas implementadas por la Organización, desde el diseño y por defecto, en todas las fases del tratamiento.
1. Laboral
| Tratamiento | |
| Descripción | Gestión laboral de los empleados de la entidad, recursos humanos. |
| Finalidades | Gestión de nóminas, Recursos humanos |
| Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado (artículo 6.1.b GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Empleados |
| Criterios de conservación | Conservados mientras existan prescripciones legales que dictaminen la custodia |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Detalles de empleo, Económicos, financieros y de seguro |
| Categorías de destinatarios | |
| Cesiones | Bancos, cajas de ahorro y cajas rurales, Organismos de la Seguridad Social, Administración tributaria, Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
2. Colegiados
| Tratamiento | |
| Descripción | Tramitar el alta de los colegiados así como para la gestión que el Colegio presta a los mismos |
| Finalidades | Fines de interés público basados en la legislación vigente |
| Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado (artículo 6.1.b GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Solicitantes |
| Criterios de conservación | Conservados durante no más tiempo del necesario para mantener el fin del tratamiento o mientras existan prescripciones legales que dictaminen su custodia |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Características personales, Académicos y profesionales, Detalles de empleo, Económicos, financieros y de seguro |
| Categorías de destinatarios | |
| Cesiones | Organizaciones o personas directamente relacionadas con el responsable, Bancos, cajas de ahorro y cajas rurales, Entidades aseguradoras |
| Transferencias internacionales | No existen |
3. Punto de Información catastral
| Tratamiento | |
| Descripción | Gestión de acceso a datos catastrales a través de una intermediación con el ciudadano |
| Finalidades | Otras finalidades: Gestión del registro de datos catastrales, Fines de interés público basados en la legislación vigente |
| Legitimación | Para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6.1.e GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Propietarios o arrendatarios, Solicitantes |
| Criterios de conservación | Conservados mientras existan prescripciones legales que dictaminen la custodia |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Económicos, financieros y de seguro, Transacciones de bienes y servicios |
| Categorías de destinatarios | |
| Cesiones | Organismos de la Seguridad Social, Administración tributaria, Administración pública con competencia en la materia, Otros destinatarios de cesión: Catastro |
| Transferencias internacionales | No existen |
4. Propietarios de inmuebles
| Tratamiento | |
| Descripción | Gestión de datos de propietarios de inmuebles |
| Finalidades | Gestión contable, fiscal y administrativa |
| Legitimación | Consentimiento EXPLÍCITO para fines determinados (artículo 6.1.a GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Clientes y usuarios |
| Criterios de conservación | Conservados durante NO MÁS TIEMPO DEL NECESARIO para alcanzar los fines |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Información comercial, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
5. Curriculums
| Tratamiento | |
| Descripción | Gestión de candidatos a empleados |
| Finalidades | Recursos humanos |
| Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado (artículo 6.1.b GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Empleados, Solicitantes |
| Criterios de conservación | Conservados durante un máximo de 1 año |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Características personales, Circunstancias sociales, Académicos y profesionales, Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
6. Contactos
| Tratamiento | |
| Descripción | Comunicación, información y gestión sobre las actividades y servicios . Incluye contactos web y redes sociales |
| Finalidades | Publicidad y prospección comercial |
| Legitimación | Consentimiento EXPLÍCITO para fines determinados (artículo 6.1.a GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Clientes y usuarios, Personas de contacto, Solicitantes |
| Criterios de conservación | Conservados durante no más tiempo del necesario para mantener el fin del tratamiento o mientras existan prescripciones legales que dictaminen su custodia |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Información comercial |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
7. Registro de jornada laboral
| Tratamiento | |
| Descripción | Registro horario de la jornada laboral para dar cumplimiento al RDL 8/2019, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo |
| Finalidades | Gestión de nóminas, Recursos humanos |
| Legitimación | Por una OBLIGACIÓN LEGAL del Responsable del tratamiento (artículo 6.1.c GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Empleados |
| Criterios de conservación | Conservados durante NO MÁS TIEMPO DEL NECESARIO para alcanzar los fines |
| Sistema de tratamiento | No Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Identificador de usuario |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | No existen |
| Categorías de destinatarios | |
| Cesiones | Interesados legítimos, Organismos de la Seguridad Social |
| Transferencias internacionales | No existen |
8. Peritos
| Tratamiento | |
| Descripción | Tramitar el alta de los peritos así como para la gestión que el colegio presta a los mismos |
| Finalidades | Otras finalidades: Gestión de actividades asociativas |
| Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado (artículo 6.1.b GDPR) |
| Origen de los datos | El mismo interesado o su representante legal |
| Categorías de interesados | Asociados y miembros |
| Criterios de conservación | Conservados mientras existan prescripciones legales que dictaminen la custodia |
| Sistema de tratamiento | Parcialmente Automatizado |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | No existen |
| Categorías de destinatarios | |
| Cesiones | Órganos judiciales, Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD
Locales o delegaciones
| Sede principal | Medidas | Riesgo |
| Tipo de acceso al local | Entrada libre con control de acceso (personal de recepción, vigilantes, etc.). | Bajo |
| Sistema general de control de llaves | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas | Bajo |
| Otras medidas de seguridad | NO EXISTEN medidas de seguridad. | Bajo |
Departamentos
| Administración | Medidas | Riesgo |
| Permiso: | Limitado a personal autorizado en todo el Departamento. | Bajo |
| Acceso: | Acceso al Departamento regido por las medidas de seguridad del Local. | Bajo |
| Control de llaves: | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas. | Bajo |
| Otras medidas de seguridad: | NO EXISTEN otras medidas de seguridad. | Bajo |
Confidencialidad de la información
| Información del tratamiento al interesado | Medidas | Riesgo |
| ¿Se informa al interesado de los detalles del tratamiento? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
| ¿Se informa al interesado de los derechos que le asisten? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
| Transporte y transmisión de datos | Medidas | Riesgo |
| Transporte de los soportes dentro de la empresa | Por personal autorizado por el Responsable del tratamiento con medidas de seguridad. | Bajo |
| Transporte de los soportes fuera de la empresa | Con soporte de seguridad. | Bajo |
| Procedimientos con datos automatizados (digital) | Medidas | Riesgo |
| Acceso durante el tratamiento digital (pantallas) | Se tratan impidiendo la visión de los datos a personas no autorizadas. | Bajo |
| Almacenamiento de los soportes digitales | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
| Destrucción de soportes digitales | Destructora de soportes digitales. | Bajo |
| Procedimientos con datos no automatizados (documentos) | Medidas | Riesgo |
| Acceso durante el tratamiento manual (documentos) | Se tratan impidiendo el acceso a los datos a personas no autorizadas. | Bajo |
| Almacenamiento de documentos | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
| Destrucción de documentos | Destructora de papel. | Bajo |
| Registro de accesos a categorías especiales de datos | Medidas | Riesgo |
| ¿Se lleva un registro de accesos a categorías especiales de datos? | NO SE TRATAN categorías especiales de datos. | Sin riesgo |
Sistemas de información
| Acceso a equipos informáticos | Medidas | Riesgo |
| Control de acceso a equipos informáticos | Usuario y contraseña personalizados. | Bajo |
| Control de acceso a ficheros con datos personales | Acceso a los ficheros y/o programa mediante contraseña. | Bajo |
| Otros tipos de acceso a equipos informáticos | Ninguno | Sin riesgo |
| Acceso a redes informáticas | Medidas | Riesgo |
| Acceso directo a los sistemas de información (conexión de red) | Usuario y contraseña personalizados. | Bajo |
| Acceso inalámbrico a los sistemas de información (Wifi, Bluetooth, etc.) | Acceso restringido por clave de seguridad. | Bajo |
| Acceso remoto a los sistemas de información | Usuario y contraseña personalizados. | Bajo |
| Cifrado de las conexiones remotas | Sí. | Bajo |
| Sistema de identificación y autenticación | Medidas | Riesgo |
| Sistema de identificación (USUARIO) | Palabra identificativa y personalizada para cada usuario. | Bajo |
| Sistema de autenticación (CONTRASEÑA) | Contraseña personalizada para cada usuario. | Bajo |
| Cifrado de la contraseña | La contraseña está cifrada | Bajo |
| Combinación de caracteres | La contraseña se compone al menos de 8 caracteres, con algún número, mayúscula, minúscula y símbolo o carácter especial | Bajo |
| Intentos reiterados de acceso | Se ha implementado un sistema que impide los intentos reiterados no autorizados | Bajo |
| Caducidad de la contraseña | La contraseña se cambia al menos una vez al año | Bajo |
Integridad de la información
| Copias de respaldo | Medidas | Riesgo |
| Ubicación de las copias | Se guardan en un Hardware distinto del que las crea (copia de red). | Bajo |
| Periodicidad de programación | Semanalmente, como mínimo. | Bajo |
| Periodicidad de comprobación de datos | Como máximo, 6 meses desde la creación. | Bajo |
| Método de comprobación de datos | Aplicación informática de verificación de copias. | Bajo |
| Copias de respaldo externas | Medidas | Riesgo |
| Ubicación de las copias externas | Local o departamento distinto de donde se creó. | Bajo |
| Periodicidad de programación de las copias externas | siempre que se realicen actualizaciones . | Sin riesgo |
| Cifrado de los datos de las copias externas | Sí. | Bajo |
| Disponibilidad de los datos | Medidas | Riesgo |
| Disponibilidad de los servicios de información | EXISTEN medidas para garantizar la disponibilidad de los datos | Bajo |
| Restauración de los servicios de información | EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos | Bajo |
| Resiliencia de los servicios de información | EXISTEN medidas para anticiparse y adaptarse a cambios imprevistos en los servicios de información | Bajo |
| Procesos de verificación, evaluación y valoración de las medidas de seguridad | SE HAN ESTABLECIDO procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad | Bajo |
Tratamientos específicos
| Tratamientos específicos | Medidas | Riesgo |
| Tratamiento de datos de niños menores de 14 años | NO SE REALIZAN tratamientos de datos de niños menores de 14 años | Sin riesgo |
| Tratamiento de datos de personas en situación de vulnerabilidad | NO SE REALIZAN tratamientos de datos de personas en situación de vulnerabilidad | Sin riesgo |
| Tratamiento de datos que puede invadir la intimidad de las personas | NO SE REALIZAN tratamientos que pueden invadir la intimidad de las personas | Sin riesgo |
| Vulneración de los derechos y libertades fundamentales | NO SE REALIZAN tratamientos que vulneren los derechos o libertades fundamentales | Sin riesgo |
Internet
| Comunicaciones electrónicas | Medidas | Riesgo |
| Correo electrónico | SE UTILIZA correo electrónico seguro mediante cifrado punto a punto. | Muy bajo |
| Cláusula de protección de datos | SE HA PUBLICADO una cláusula de protección de datos con información adecuada del tratamiento. | Muy bajo |
Organización
| Organización | Medidas | Riesgo |
| Política de información | EXISTE un protocolo documentado para informar y comunicar el tratamiento al interesado | Bajo |
| Derechos del interesado | EXISTE un protocolo documentado para gestionar y registrar los derechos del interesado | Bajo |
| Política de seguridad | EXISTE un protocolo documentado para garantizar la seguridad de los datos personales y su protección desde el DISEÑO Y POR DEFECTO | Bajo |
| Violaciones de la seguridad | EXISTE un protocolo documentado para gestionar y registrar las violaciones de la seguridad | Bajo |
| Formación en protección de datos | [Se facilita suficiente formación al personal autorizado para tratar datos] mediante la publicación de la política de seguridad | Bajo |
| Delegado de protección de datos (DPO) | [Se ha designado un DPO conforme a la LOPDGDD, art. 34.]a) Colegios profesionales y sus consejos generales. | Bajo |
| Evaluación de impacto (DPIA) | [No precisa realizar una DPIA porque] el tratamiento no comporta un alto riesgo para los derechos y libertades de las personas físicas. | Bajo |