ÍNDICE
1. Objetivo de la Política de Privacidad
2. Definiciones
3. Identidad del Responsable del Tratamiento
4. Leyes y normativas aplicables
5. Principios aplicables al tratamiento de los datos personales
6. Actividades de Tratamiento de datos realizadas
7. Información necesaria y actualizada
8. Datos personales de menores de edad
9. Medidas de seguridad técnicas y organizativas
10. Derechos de los interesados
11. Reclamaciones ante la Autoridad de Control
12. Aceptación y cambios en la Política de Privacidad
1.- OBJETIVO DE LA POLÍTICA DE PRIVACIDAD
La presente «Política de Privacidad y Protección de Datos» tiene como finalidad dar a conocer las condiciones que rigen la recogida y tratamiento de los datos personales por parte de LA PALESTRA, haciendo el máximo esfuerzo para velar por los derechos fundamentales, el honor y libertades de las personas de las que se tratan datos personales cumplimiento las normativas y leyes vigentes que regulan la Protección de Datos personales según la Unión Europea y el Estado Miembro español y, en concreto, las expresadas en el apartado «Actividades de Tratamientos» de esta Política de Privacidad. Por todo lo cual, en esta Política de Privacidad y Protección de datos, se informa a los usuarios del Website http://www.musicalapalestra.com de todos los detalles de su interés respecto a cómo se realizan estos procesos, con qué finalidades, que otras entidades pudieran tener acceso a sus datos y cuáles son los derechos de los usuarios.
2.- DEFINICIONES
«Datos personales»: Toda información sobre una persona física identificada o identificable («el usuario del Website»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modicación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
«Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el n de limitar su tratamiento en el futuro.
«Elaboración de perles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
«Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
«Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
«Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
«Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate
datos personales por cuenta del responsable del tratamiento.
«Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.
«Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
«Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
«Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
«Datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
«Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
«Datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
«Establecimiento principal»: a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal; b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento.
«Representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 del RGPD, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento.
«Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.
«Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 del RGPD. En el caso de España es la Agencia Española de Protección de Datos.
«Tratamiento transfronterizo»: a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.
«Servicio de la sociedad de la información»: todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios.
3.- IDENTIDAD DEL RESPONSABLE DEL TRATAMIENTO
El Responsable del Tratamiento de Datos es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales; en caso de que los nes y medios del tratamiento estén determinados por el Derecho de la Unión Europea o del Estado Miembro español. En los aspectos expresados en la presente Política de Protección de Datos, la identidad y datos de contacto del Responsable del Tratamiento es:
LA PALESTRA, C.B. – CIF E40243503
Calle Almendros- Local 3. 40002, Segovia (Segovia), España
Email: gestion@musicalapalestra.com
Teléfono: 921 44 50 60
4.- LEYES Y NORMATIVAS APLICABLES
Esta Política de Privacidad y Protección de Datos está desarrollada en base a las siguientes normativas y leyes de protección de datos: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En adelante RGPD. Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales. En adelante LOPD/GDD.
Ley 34/2002, de 11 de julio, de los Servicios de la Sociedad de la Información y el Comercio Electrónico. En adelante LSSICE.
5.- PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES
Los datos personales recogidos y tratados mediante este sitio Web, serán tratados de acuerdo con los siguientes principios:
Principio de licitud, lealtad y transparencia: Todo tratamiento de datos personales realizado a través de este Website será lícito y leal, quedando totalmente claro para el usuario cuando se están recogiendo, utilizando, consultando o tratando los datos personales que le conciernen. La información relativa a los tratamientos realizados se transmitirá de forma previa, fácilmente accesible y fácil de entender, en un lenguaje sencillo y claro.
Principio de limitación de la finalidad: Todos los datos serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con los fines para los que fueron recogidos.
Principio de minimización de datos: Los datos recogidos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Principio de exactitud: Los datos serán exactos y, si fuera necesario, actualizados, adoptando todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los nes para los que se tratan.
Principio de limitación del plazo de conservación: Los datos serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
Principio de integridad y confidencialidad: Los datos serán tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida o daño accidenta, mediante la aplicación de medidas técnicas y organizativas apropiadas
Principio de responsabilidad proactiva: La entidad propietaria del Website será responsable del cumplimiento de los principios expuestos en el presente apartado y será capaz de demostrarlo.
6.- ACTIVIDADES DE TRATAMIENTOS DE DATOS
A continuación, se detallan las actividades de tratamiento de datos realizadas mediante el sitio Web especificando cada uno de los siguientes apartados:
Actividad: Nombre de la actividad de tratamiento de datos
Finalidades: Cada uno de los usos y tratamientos que se realizan con los datos recabados
Base legal: La base jurídica que legitima el tratamiento de los datos
Datos tratados: Tipología de datos tratados
Procedencia: De dónde se obtienen los datos
Conservación: Periodo durante el cual se conservan los datos
Destinatarios: Personas o entidades terceras a las que se les facilitan los datos
Transferencias internacionales: Envíos transfronterizos de los datos fuera de la Unión Europea
6.1 ACTIVIDADES DE TRATAMIENTO PRINCIPALES
Son aquellas actividades de tratamientos de datos cuyas finalidades son necesarias e imprescindibles para la prestación de los servicios.
| CONTABILIDAD, FISCALIDAD Y TESORERÍA | |
| Bases jurídicas | (Art. 6.1.c RGPD) Cumplimiento de obligaciones legales del Responsable del Tratamiento |
| Finalidades | Gestión de clientes/proveedores, contable, fiscal y administrativa |
| Categorías de datos y colectivos | Clientes (Datos identificativos; Económicos, financieros y de seguros; Transacciones de bienes y servicios). Proveedores (Datos identificativos; Económicos, financieros y de seguros; Transacciones de bienes y servicios) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | Administración Tributaria; Bancos, cajas de ahorros y cajas rurales |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Durante un plazo de 5 años a partir de la última confirmación de interés |
Medidas de seguridad | MEDIDAS ORGANIZATIVAS Deber de confidencialidad y secreto Debe impedirse el acceso a datos personales de personas no autorizadas. Para ello intenta no dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Esto incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.No se comunicarán datos personales o cualquier información personal a terceros. Ni divulgarse datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc. |
- El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.
Derechos de los titulares de los datos
- Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá responder a los interesados lo antes posible.
- En caso de ejercicio del derecho de acceso, se facilitará a los interesados:
- lista de los datos personales de que disponga junto con la nalidad para la que han sido recogidos,
- identidad de los destinatarios de los datos,
- plazos de conservación e
- identidad del responsable ante el que solicitar la rectificación, supresión y oposición al tratamiento de los datos.
- En caso de solicitarse la rectificación se modificarán los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
- Cuando se solicite la supresión, se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.
Violaciones de seguridad de datos
Cuando se produzcan violaciones de seguridad de datos personales, como, por ejemplo, el robo o acceso indebido a los datos personales, se notificará a la Agencia Española de Protección de Datos en 72 horas desde que de dichas violaciones de seguridad tuvieron lugar.
Y debe añadirse toda la información necesaria para la aclaración de los hechos que produjeron el acceso indebido a los datos personales.
La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es
MEDIDAS TÉCNICAS
Identificación de usuarios
Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perles o usuarios distintos para cada una de las finalidades. Es importante separar los usos personales y profesionales del ordenador.
Una recomendación es tener perles con derechos de administración para la instalación y configuración del sistema y usuarios sin derechos de administración o privilegios para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Las contraseñas deben mezclar números y letras, teniendo al menos 8 caracteres.
Deber de salvaguarda
- Actualización de dispositivos y ordenadores. Los ordenadores y dispositivos usados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
- Malware: Se dispondrá de un sistema de antivirus en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales que garantice la protección de la información y datos personales. Este sistema deberá actualizarse periódicamente.
- Cortafuegos o firewall: Deberá existir de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales para evitar accesos remotos indebidos a esos datos.
- Cifrado de datos: En caso de que sea necesario sacar los datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de usar un proceso de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
- Copia de seguridad: Se efectuará de forma periódica una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir, en caso de pérdida de la información, la recuperación de los datos personales.
RESUMEN
MEDIDAS PARA GARANTIZAR LA CONFIDENCIALIDAD
- Formalización de compromisos de confidencialidad y secreto profesional con todo el personal que interviene en los sistemas de información.
- Formalización de compromisos de confidencialidad y secreto profesional con todos los prestadores de servicios externalizados
- Gestión y asignación de privilegios de accesos limitados y restringidos
- Archivadores y áreas de archivo protegidas con sistemas que limiten y controlen el acceso
- Cifrado de la información
- Anonimización de la información
MEDIDAS PARA GARANTIZAR LA INTEGRIDAD
- Instalación de antivirus y antispam
- Uso de cortafuegos
- Métodos seguros de autenticación
- Gestión de contraseñas robustas, condenciales y con cambios periódicos
MEDIDAS PARA GARANTIZAR LA DISPONIBILIDAD Y RESILIENCIA DE LOS SISTEMAS Y SERVICIOS DE TRATAMIENTO
- Copias de seguridad periódicas en recursos distintos de los sistemas de información
- Copias de seguridad en ubicaciones distintas de los sistemas de información
- Verificación de periódica de las copias de seguridad
- Duplicidad de servicios de tecnología de la información
- Plan de continuidad de negocio
MEDIDAS PARA GARANTIZAR LA PROACTIVIDAD EN LA SEGURIDAD DE LA INFORMACIÓN Y CUMPLIMIENTO NORMATIVO
- Nombramiento de un DPD
- Auditorías periódicas
- Análisis de riesgos técnicos y organizativos
- Análisis de riesgos de cumplimiento normativo
- Procedimientos para la gestión de incidencias y brechas de seguridad
| DOCENCIA | |
| Bases jurídicas | (Art. 6.1.b RGPD) Existencia de una relación contractual con el interesado mediante contrato o precontrato |
| Finalidades | Educación y formación musical |
| Categorías de datos y colectivos | Alumnos (Datos identicativos; Académico y profesionales; Características personales) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | No están previstas |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Mientras no se solicite su supresión por el interesado |
| Medidas de seguridad | Véanse las medidas de seguridad descritas en la actividad de tratamiento anterior. |
6.2 ACTIVIDADES DE TRATAMIENTO OPCIONALES (si el usuario ha marcado su aceptación)
Son aquellas actividades de tratamientos de datos personales cuyas finalidades no son imprescindibles para la prestación del servicio y que únicamente se llevan a cabo si el usuario ha marcado SI en el consentimiento para la realización de estas actividades.
| PÁGINA WEB | |
| Bases jurídicas | (Art. 6.1.a RGPD) Consentimiento del interesado |
| Finalidades | Gestión y respuestas a las consultas recibidas a través del formulario de contacto de la web; Uso de cookies no necesarias; Tratamiento de datos personales procedentes del uso de una web |
| Categorías de datos y colectivos | Contactos web (Datos identificativos) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | No están previstas |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Durante un plazo de 1 año a partir de la última confirmación de interés |
| Medidas de seguridad | Véanse las medidas de seguridad descritas en la actividad de tratamiento anterior. |
| COMUNICACIONES COMERCIALES | |
| Bases jurídicas | Consentimiento explícito del interesado |
| Finalidades | Marketing, publicidad y prospección comercial |
| Categorías de datos y colectivos | Clientes (Datos identificativos). Potenciales (Datos identificativos) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | No están previstas |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Mientras no se solicite su supresión por el interesado |
| COMUNICACIONES WHATSAPP | |
| Bases jurídicas | Consentimiento explícito del interesado |
| Finalidades | Comunicaciones de mensajería instantánea WhatsApp |
| Categorías de datos y colectivos | Empleados (Datos identicativos). Alumnos (Datos identicativos) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | Prestadores de servicios de telecomunicaciones; Entidades propietarias de las aplicaciones de mensajería instantánea |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Durante un plazo de 6 años a partir de la última confirmación de interés |
| GESTIÓN DE ALUMNOS | |
| Bases jurídicas | (Art. 8.1.b RGPD) Consentimiento del titular de la patria potestad o tutela de un menor de 14 años o persona incapacitada física o jurídicamente; (Art. 6.1.a RGPD) Consentimiento del interesado |
| Finalidades | Administración y tramitación de matrículas para el curso académico; Gestión de actividades culturales, recreativas, formativas y sociales |
| Categorías de datos y colectivos | Alumnos (Datos identificativos; Académico y profesionales; Características personales; Económicos, financieros y de seguros; Transacciones de bienes y servicios; Categorías especiales de datos) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | No están previstas |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Durante un plazo de 4 años a partir de la última confirmación de interés |
| Medidas de seguridad | Véanse las medidas de seguridad descritas en la actividad de tratamiento anterior. |
| GESTIÓN DE FOTOGRAFÍAS | |
| Bases jurídicas | (Art. 6.1.a RGPD) Consentimiento del interesado |
| Finalidades | Compartir fotografías y/o vídeos en página web, redes sociales o medios de comunicación |
| Categorías de datos y colectivos | Alumnos (Datos identificativos) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | Prestadores de servicios de telecomunicaciones; Empresas dedicadas a publicidad o marketing directo; Empresas prestadoras de servicios de redes sociales. |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Mientras no se solicite su supresión por el interesado |
| SELECCIÓN DE PERSONAL | |
| Bases jurídicas | Consentimiento explícito del interesado |
| Finalidades | Tratamiento de datos personales recabados a través de su CV para selección de candidatos a un puesto de empleo |
| Categorías de datos y colectivos | Candidatos de empleo (Datos identicativos; Académico y profesionales; Características personales; Circunstancias sociales; Detalles de empleo) |
| Procedencia de datos | El propio interesado o su representante legal |
| Categoría de destinatarios | No están previstas |
| Transferencia internacional | No están previstas |
| Plazo de conservación | Durante un plazo de 1 año a partir de la última confirmación de interés |
7.- INFORMACION NECESARIA Y ACTUALIZADA
Todos los campos que aparezcan señalados con un asterisco (*) en los formularios del Website serán de obligada cumplimentación, de tal modo que la omisión de alguno de ellos podría comportar la imposibilidad de que se le puedan facilitar los servicios o información solicitados.
Deberá proporcionar información verídica, para que la información facilitada esté siempre actualizada y no contenga errores, deberá comunicar al Responsable del Tratamiento a la mayor brevedad posible, las modificaciones y rectificaciones de sus datos de carácter personal que se vayan produciendo a través de un correo electrónico a la dirección: gestion@musicalapalestra.com.
Asimismo, al hacer “click” en el botón “Acepto” (o equivalente) incorporado en los citados formularios, declara que la información y los datos que en ellos ha facilitado son exactos y veraces, así como que entiende y acepta la presente Política de Privacidad.
8.- DATOS DE MENORES DE EDAD
En cumplimiento de lo establecido en el artículo 8 del RGPD y el artículo 7 de la LOPD/GDD, sólo lo mayores de 14 años de edad podrán otorgar su consentimiento para el tratamiento de sus datos personales de forma lítica por LA PALESTRA.
Por lo anterior, los menores de 14 años de edad no podrán usar los servicios disponibles a través del Website sin la previa autorización de sus padres, tutores o representantes legales, quienes serán los únicos responsables de todos los actos realizados a través del Website por los menores a su cargo, incluyendo la cumplimentación de los formularios telemáticos con los datos personales de dichos menores y la marcación, en su caso, de las casillas que los acompañan.
9.- MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS
El Responsable del Tratamiento adopta las medidas organizativas y técnicas necesarias para garantizar la seguridad y la privacidad de sus datos, evitar su alteración, pérdida, tratamiento o acceso no autorizado, dependiendo del estado de la tecnología, la naturaleza de los datos almacenado y los riesgos a que están expuestos.
Entre otras, destacan las siguientes medidas:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implementadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en caso de que se trate de datos sensibles.
Por otro lado, el Responsable del Tratamiento ha tomado la decisión se gestionar los sistemas de la información de acuerdo a los siguientes principios:
- Principio de cumplimiento normativo: Todos los sistemas de información se ajustarán a la normativa de aplicación legal regulatoria y sectorial que afecte a la seguridad de la información, en especial aquellas relacionadas con la protección de datos de carácter personal, seguridad de los sistemas, datos, comunicaciones y servicios electrónicos.
- Principio de gestión de riesgo: Se minimizarán los riesgos hasta niveles aceptables y buscar el equilibrio entre los controles de seguridad y la naturaleza de la información. Los objetivos de seguridad deberán ser establecidos, ser revisados y coherentes con los aspectos de seguridad de la información.
- Principio de concienciación y formación: Se articularán programas de formación, sensibilización y campañas de concienciación para todos los usuarios con acceso a la información, en materia de seguridad de la información.
- Principio de proporcionalidad: La implantación de controles que mitiguen los riesgos de seguridad de los activos se realizará buscando el equilibrio entre las medidas de seguridad, la naturaleza y la información y riesgo.
- Principio de responsabilidad: Todos los miembros del Responsable del Tratamiento, serán responsables de su conducta en cuanto a la seguridad de la información, cumpliendo con las normas y controles establecidos.
- Principio de mejora continua: Se revisará de manera recurrente el grado de ecacia de los controles de seguridad implantados en la organización para aumentar la capacidad de adaptación a la constante evolución del riesgo y del entorno tecnológico.
10.- DERECHOS DE LOS INTERESADOS
La normativa vigente de protección de datos ampara al usuario en una serie de derechos en relación al uso que se dan a sus datos. Todos y cada uno de tales derechos son unipersonales e intransferibles, es decir, que únicamente pueden ser realizados por el titular de los datos, previa comprobación de su identidad.
A continuación, se detallan cuáles son los derechos de los usuarios del Website:
- Derecho de acceso: Es el derecho que tiene el usuario del Website a obtener conrmación de si el Responsable del Tratamiento está tratando o no sus datos personales y, en caso afirmativo, obtener información sobre sus datos concretos de carácter personal y del tratamiento que el Responsable del Tratamiento haya realizado o realice, así como, entre otra, de la información disponible sobre el origen de dichos datos y los destinatarios de las comunicaciones realizadas o previstas en los mismos.
- Derecho de rectificación: Es el derecho que el usuario del Website tiene a que se modifiquen sus datos personales que resulten ser inexactos o, teniendo en cuenta los fines del tratamiento, incompletos.
- Derecho de supresión: Suele conocerse como «derecho al olvido», y es el derecho que el usuario del Website tiene, siempre que la legislación vigente no establezca lo contrario, a obtener la supresión de sus datos personales cuando estos ya no sean necesarios para los fines para los cuales fueron recogidos o tratados; el Usuario haya retirado su consentimiento al tratamiento y este no cuente con otra base legal; el Usuario se oponga al tratamiento y no exista otro motivo legítimo para continuar con el mismo; los datos personales hayan sido tratados ilícitamente; los datos personales hayan sido obtenidos producto de una oferta directa de servicios de la sociedad de la información a un menor de 14 años. Además de suprimir los datos, el Responsable del Tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables para informar a otros posibles responsables que estuvieren tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales.
- Derecho a la limitación de los datos: Es el derecho del Usuario del Website a limitar el tratamiento de sus datos personales. El Usuario del Website tiene derecho a obtener la limitación del tratamiento cuando impugne la exactitud de sus datos personales; el tratamiento sea ilícito; el Responsable del Tratamiento ya no necesite los datos personales, pero el Usuario lo necesite para hacer reclamaciones; y cuando el Usuario del Website se haya opuesto al tratamiento.
- Derecho a la portabilidad de los datos: En aquellos casos que el tratamiento se efectúe por medios automatizados, el Usuario del Wesbsite tendrá derecho a recibir del Responsable del Tratamiento sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento. siempre que se técnicamente posible, el Responsable del Tratamiento transmitirá directamente los datos a ese otro Responsable.
- Derecho de oposición: Es el derecho del Usuario a que no se lleva a cabo el tratamiento de sus datos personales o se cese el tratamiento de los mismos por parte del Responsable del Tratamiento.
- Derecho a no ser objeto de decisiones automatizadas y/o elaboración de perles: El el derecho del Usuario del Website a no ser objeto de una decisión individualizada basada únicamente en el tratamiento automatizado de sus datos personales, incluida la elaboración de perles, existente salvo que la legislación vigente establezca lo contrario.
- Derecho a revocar el consentimiento: Es el derecho del Usuario del Website a retirar, en cualquier momento, el consentimiento prestado para el tratamiento de sus datos.
El usuario del Website puede ejercer cualquiera de los derechos citados dirigiéndose al Responsable del Tratamiento y previa identificación del Usuario usando la siguiente información de contacto:
Responsable: LA PALESTRA, C.B.
Dirección: Calle Almendros- Local 3. 40002, Segovia (Segovia), España
Teléfono: 921 44 50 60
E-mail: gestion@musicalapalestra.com
Página web: http://www.musicalapalestra.com
11.- DERECHO A RECLAMAR ANTE LA AUTORIDAD DE CONTROL
Se informa al usuario del su derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si considera que se ha cometido una infracción de la legislación en materia de protección de datos respecto al tratamiento de sus datos personales.
Información de contacto de la autoridad de control:
Agencia Española de Protección de Datos
Email: info@aepd.es
Teléfono: 912663517
Sitio web: https://www.aepd.es
Dirección: C/. Jorge Juan, 6. 28001, Madrid (Madrid), España
12.- ACEPTACIÓN Y CAMBIOS EN LA POLÍTICA DE PRIVACIDAD
Es necesario que el usuario del Website haya leído y esté conforme con las condiciones de protección de datos contenidas en esta Política de Privacidad, así como que acepte el tratamiento de sus datos personales para que el Responsable del Tratamiento pueda proceder al mismo en la forma, plazos y finalidades indicadas.
El Responsable del Tratamiento se reserva el derecho a modificar la presente Política de Privacidad, de acuerdo a su propio criterio, o motivado por un cambio legislativo, jurisprudencial o doctrinal de la Agencia Española de Protección de Datos. Los cambios o actualizaciones realizados en esta Política de Privacidad que afecten a las finalidades, plazos de conservación, cesiones de datos a terceros, transferencias internacionales de datos, así como a cualquier derecho del Usuario del Website, serán comunicados de forma explícita al usuario.