AVISO LEGAL y POLÍTICA DE PROTECCIÓN DE DATOS EN ASOCIACIÓN OPEN YOUR SPAIN
Datos generales
En cumplimiento del artículo 10 de la Ley 34/2002, del 11 de julio, de servicios de la sociedad de la información y comercio electrónico, se exponen a continuación los datos identificativos de la Asociación.
Inscrita en el Registro de Asociaciones de la Generalitat de Catalunya el 4 de septiembre 2023 con el nº 73681.
Política de privacidad
Este sitio web ha sido creado para gestionar el funcionamiento de la Asociación y ofrecer a sus socios o a terceros información que pueda serles de interés.
A través de este sitio web no se recaban datos de carácter personal de los usuarios sin su conocimiento, ni se ceden a terceros.
Con la finalidad de ofrecerle el mejor servicio y con objeto de facilitar el uso, se analizan el número de páginas visitadas, el número de visitas, así como la actividad de los visitantes y su frecuencia de utilización. A estos efectos, la Asociación Open Your Spain utiliza la información estadística elaborada por el proveedor de servicios de Internet.
Este sitio web contiene enlaces a sitios web de terceros cuyas políticas de privacidad son ajenas a la de la Asociación Open Your Spain. Al acceder a tales sitios web, usted puede decidir si acepta sus políticas de privacidad y de cookies. Con carácter general, si navega por internet puede aceptar o rechazar las cookies de terceros desde las opciones de configuración de su navegador.
En cumplimiento de la legislación, se informa que los datos de carácter personal que se recaban directamente del usuario a través de los distintos recursos disponibles en el sitio web serán tratados de forma confidencial y no serán utilizados para finalidades incompatibles.
Los afectados pueden ejercitar los derechos de acceso, rectificación, cancelación y oposición ante la Asociación Open Your Spain, por correo postal o electrónico dirigidos a la Asociación.
Condiciones de uso
Las condiciones de acceso y uso del presente sitio web se rigen por la legalidad vigente y por el principio de buena fe. No se permiten conductas que vayan contra la ley o contra los derechos o intereses de terceros. Ser usuario de este sitio web implica haber leído y aceptado las presentes condiciones y la normativa legal aplicable en la materia.
Responsabilidades
La Asociación Open Your Spain no se hace responsable de la legalidad o los contenidos de otros sitios web de terceros desde los que pueda accederse a este o que estén vinculados al mismo.
Tampoco se responsabiliza de los daños y perjuicios que se produzcan por fallos o malas configuraciones del software instalado en los ordenadores de los usuarios. Se excluye toda responsabilidad por cualquier incidencia técnica o fallo que se produzca al conectarse el usuario a Internet. Igualmente, no se garantiza la inexistencia de interrupciones o errores en el acceso al sitio web.
La Asociación Open Your Spain se reserva el derecho a realizar cambios en el sitio web sin previo aviso, al objeto de mantener actualizada su información, añadiendo, modificando, corrigiendo o eliminando los contenidos publicados o el diseño del propio sitio web.
La Asociación Open Your Spain no será responsable del uso que terceros hagan de la información publicada en el sitio web, ni tampoco de los daños sufridos o pérdidas económicas que, de forma directa o indirecta, produzcan o puedan producir perjuicios económicos, materiales o sobre datos, provocados por el uso de dicha información.
Propiedad intelectual e industrial
El diseño del sitio web y sus códigos fuente, así como los logotipos, marcas y demás signos distintivos que aparecen en él, pertenecen a la Asociación Open Your Spain y están protegidos por los correspondientes derechos de propiedad intelectual e industrial.
Ningún material publicado en este sitio web podrá ser reproducido, copiado o publicado sin el consentimiento por escrito de la Asociación Open Your Spain Toda la información que se reciba en el sitio web, como comentarios, sugerencias o ideas, se considera cedida a la Asociación Open Your Spain de manera gratuita. No debe enviarse información que no pueda ser tratada de ese modo.
Legislación aplicable
Las presentes condiciones generales se rigen por la legislación española.
REGIMEN DE PROTECCIÓN DE DATOS
1.1 En protección de datos se usa una terminología específica. En su aplicación a Asociación Open Your Spain, el significado de los términos básicos es el siguiente:
1. TERMINOLOGÍA
“Delegado de protección de datos”: persona o entidad (interna o externa), que asesora al responsable del tratamiento y al encargado y sobre las obligaciones en materia de protección de datos y supervisa su cumplimiento. (En Asociación Open Your Spain no hay “delegado de protección de datos”, porque solo es obligatorio en entidades de más de 250 trabajadores.)
1.2 Para resumir, en Asociación Open Your Spain son “interesados” los socios, y es la propia Asociación Open Your Spain, como “responsable del tratamiento”, la que tiene derecho de acceso a los datos personales de los mismos. Este derecho es ejercido directamente por los miembros de la Junta, pero puede ser transferido a un “cesionario de datos” o a un “encargado de tratamiento”.
2. RÉGIMEN APLICABLE
El régimen legal aplicable desde mayo de 2018, establecido por un Reglamento de la Unión Europea:
a) suprime la obligación antes existente de notificar a la Agencia Española de Protección de Datos la existencia de un fichero con los datos de los sociose) impone a Asociación Open Your Spain una responsabilidad “proactiva” (anticipativa) en materia de protección de datos, que le obliga a:
f) obliga a llevar un registro de actividades (aunque esta obligación no se aplica a Asociación Open Your Spain, porque solo afecta a las entidades de más de 250 trabajadores).
3. OBTENCIÓN DEL CONSENTIMIENTO DE LOS SOCIOS PARA EL TRATAMIENTO DE SUS DATOS
3.1 El consentimiento de los socios para el tratamiento de sus datos debe ser “inequívoco y expreso”, es decir, debe manifestarse mediante una clara acción afirmativa, no siendo admisible el consentimiento tácito o por omisión.
3.2 Esto significa que, en el formulario de consentimiento (”ficha de socio”), el socio debe poner su firma, o hacer clic en una casilla específica (si en su día se establece un formulario electrónico).
4. DEBER DE TRANSPARENCIA EN LA INFORMACIÓN QUE SE FACILITA A LOS SOCIOS
4.1 En virtud del principio de transparencia, debe facilitarse a los interesados información sobre:
a) La identidad de Asociación Open Your Spain (nombre, teléfono, etc.)
b) La base jurídica o legitimación para el tratamiento de los datos personales
c) El plazo o criterios de conservación de esos datos
d) Los derechos de los interesados en materia de protección de datos
4.2 Esa información debe facilitarse en un lenguaje claro, transparente, inteligible y de fácil acceso. En cumplimiento de estos criterios, la Agencia Española de Protección de Datos recomienda que se dé la información en dos niveles:
a) información de nivel básico, en forma de tabla, agrupada en determinados epígrafes y utilizando el mismo formulario que se emplee para obtener los datos personales que se solicitan.
b) información de nivel adicional, de carácter completo (incluida la información básica), agrupada en esos mismos epígrafes y utilizando un medio distinto (por ejemplo, la pagina web de Asociación Open Your Spain)
4.3 En consecuencia, en Asociación Open Your Spain se distingue entre:
a) Información de primer nivel, consignada mediante la correspondiente “cláusula informativa” en el formulario en el que se solicitan los datos personales a los socios (“ficha de socio”), junto al espacio reservado para la firma del socio o junto a la casilla en la que este deba hacer clic (si en su día se establece un formulario electrónico)
b) Información de segundo nivel, la que figura en el Anexo.5. EVALUACIÓN DE LOS RIESGOS QUE PUEDEN RESULTAR PARA LOS DERECHOS DE LOS SOCIOS
5.1 Asociación Open Your Spain está obligada a hacer una evaluación de los riesgos para los derechos de los socios que puedan resultar del tratamiento que hace de sus datos personales. En general, estos riesgos están ligados a:
a) los tipos de datos que maneja
b) la finalidad con que lo hace5.2 En el caso de Asociación Open Your Spain, esa evaluación nos indica que los riesgos son escasos. En comparación con otras entidades, Asociación Open Your Spain no trata datos sensibles (por ejemplo, relativos al estado de salud), esos datos corresponden a un número limitado de personas (solamente los socios), no trata gran cantidad de datos (sino únicamente los indispensables; nombre, teléfono, etc.), no utiliza nuevas tecnologías para el tratamiento de los datos (como la geolocalización, la videovigilancia a gran escala, etc.) y no utiliza los datos para trazar perfiles (por ejemplo, para dirigir una campaña solo a los socios que sean mujeres, o solo a los socios que se hayan interesado por una determinada actividad, o solo a los socios que residan en una población determinada, etc.)
5.3 Puesto que los riesgos son escasos, también las medidas organizativas y técnicas que Asociación Open Your Spain debe aplicar son sencillas. Se describen a continuación.
6. MEDIDAS DE SEGURIDAD ORGANIZATIVAS Y TÉCNICAS
6.1 MEDIDAS DE SEGURIDAD ORGANIZATIVAS
6.1.1 MEDIDAS RELATIVAS A LOS DEBERES DE LAS PERSONAS QUE TIENEN ACCESO A DATOS PERSONALES
Toda persona que tenga acceso a los datos personales de los socios tiene los deberes siguientes:
Deber de confidencialidad y secreto
Debe impedir el acceso de personas no autorizadas a esos datos. A tal fin, evitará dejar esos datos expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Cuando se ausente del puesto, debe proceder al bloqueo de la pantalla o al cierre de la sesión.
Debe almacenar en lugar seguro los documentos en papel y soportes electrónicos (armarios o estancias de acceso restringido) durante las 24 horas del día.
No debe desechar documentos o soportes electrónicos (CD, lápices electrónicos, discos duros, etc.) con datos personales sin garantizar su destrucción.
No debe comunicar datos personales a terceros. Ha de prestar atención especial a no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
El deber de secreto y confidencialidad persistirá incluso cuando deje de pertenecer a la Asociación.
Deber en relación con el ejercicio de los derechos de los interesados
Quien tenga conocimiento del ejercicio o la intención de los interesados de ejercitar alguno de los derechos que les concede la legislación (de acceso, de rectificación, de cancelación o de oposición, más los nuevos derechos de olvido, portabilidad y limitación del tratamiento), lo pondrá inmediatamente en conocimiento del Secretario y se abstendrá de toda actuación al respecto.
Deber en relación con las violaciones de seguridad de los datos personales
Quien tenga conocimiento de las violaciones de seguridad de datos personales, definidas tal como se indica en el apartado 6.1.3, lo debe poner en conocimiento del Secretario, quien seguirá el procedimiento que se indica en ese mismo apartado.
6.1.2 MEDIDAS RELATIVAS A LOS DERECHOS DE LOS INTERESADOS
Listado de derechos
Cualquier interesado, previa identificación, podrá dirigirse a la Asociación por correo postal o electrónico para ejercer sus derechos de acceso, rectificación, cancelación y oposición y los nuevos derechos de olvido, portabilidad y limitación del tratamiento.
El derecho de acceso es el que permite a los interesados conocer y obtener gratuitamente información sobre sus datos personales sometidos a tratamiento.
Al tener conocimiento del ejercicio de este derecho, el Secretario facilitará al interesado la lista de sus datos personales, junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios y los plazos de conservación, con el fin de que, en su caso, pueda solicitar la rectificación, supresión u oposición al tratamiento de los mismos.
El derecho de rectificación es el que el Secretario procederá a modificar los datos del interesado que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
El derecho de cancelación es el que permite suprimir datos personales inadecuados o excesivos. Al tener conocimiento del ejercicio de este derecho, el Secretario suprimirá los datos correspondientes.
El derecho de oposición es el que permita negar el consentimiento para el tratamiento de datos personales. Al tener conocimiento del ejercicio de este derecho, el Secretario suprimirá los datos correspondientes.
El derecho de olvido es el que permite a los interesados impedir que sus datos personales aparezcan como resultado de búsquedas en internet. No afecta a la Asociación, ya que se ejercita ante el buscador de internet correspondiente (p. ej., Google).
El derecho de portabilidad es el que permite transferir los datos personales automáticamente a otra entidad, sin necesidad de pasar por el interesado (por ejemplo, de un proveedor de electricidad a otro). Tampoco afecta a la Asociación.
El derecho de limitación del tratamiento es el que permite obtener una especie de “suspensión” del tratamiento mientras se den las circunstancias legalmente establecidas. Al tener conocimiento del ejercicio de este derecho, el Secretario dispondrá que no se traten los datos mientras se den tales circunstancias. (Es un caso poco probable en Asociación Open Your Spain.)
Procedimiento
La gestión en esta materia corresponde al Secretario, quien deberá dar respuesta a los derechos de los interesados en el plazo de un mes.
6.1.3 MEDIDAS EN CASO DE VIOLACIONES DE SEGURIDAD DE LOS DATOS PERSONALES DE LOS INTERESADOS
Concepto
Se entienden por violaciones de seguridad de datos de carácter personal: a) la destrucción, pérdida o alteración de los mismos (p. ej., el extravío del ordenador en que están alojados, la corrupción del archivo correspondiente, etc.), y b) la comunicación o acceso no autorizados a esos datos (p. ej., el envío por error de la dirección electrónica de un socio a otro socio o a un tercero).
Procedimiento
Al tener conocimiento de una violación de seguridad, el Secretario lo notificará a la Agencia Española de Protección de Datos en el término de 72 horas, incluyendo toda la información necesaria para el esclarecimiento de los hechos. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es.
La notificación del Secretario contendrá, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
c) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no puede facilitar la información simultáneamente, y en la medida en que no lo sea, el Secretario la facilitará de manera gradual sin dilación indebida.
Corresponde asimismo al Secretario comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los propios interesados, cuando sea probable que la violación suponga un alto riesgo para sus derechos y las libertades.
La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:
a) Explicar la naturaleza de la violación de datos.
b) Indicar su propio nombre y datos de contacto para que pueda pedírsele, en su caso, más información.
c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
6.1.4 MEDIDAS ESPECÍFICAS EN CASO DE ENCARGO DE TRATAMIENTO A UN SOCIO
Principio aplicable
En Asociación Open Your Spain consideramos como un “encargo de tratamiento” (no como una “cesión de datos”) la operación mediante la cual la cual se da acceso a uno o más socios a datos personales de todos o parte de los demás socios para la prestación de un servicio o la realización de una actividad propios de la Asociación (por ejemplo, para gestionar una actividad aprobada por la Junta o por la Asamblea General). Este encargo ha de ser realizado por la Junta (representada por su Presidente), no requiere el consentimiento de los socios y debe formalizarse en un acuerdo escrito.
6.2. MEDIDAS DE SEGURIDAD TÉCNICAS
6.2.1. MEDIDAS RELATIVAS AL ACCESO A LOS DATOS: USUARIOS Y CONTRASEÑAS
Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal, se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.
Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
Debe exigirse el uso de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Las contraseñas han de ser robustas (con al menos 8 caracteres combinando números y letras), no deben resultar fáciles de adivinar (por ejemplo, “12345678”) y deben ser distintas para los distintos servicios.
Cuando a los datos personales accedan distintas personas, para cada una de estas persona se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y se evitará el acceso de personas distintas del usuario.
6.2.2. MEDIDAS RELATIVAS A LA SALVAGUARDA DE LOS DATOS
A continuación se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
Actualización de ordenadores y dispositivos
Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deben mantenerse actualizados en la media posible.
Antivirus
En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se debe disponer de un sistema de antivirus que proteja en la medida posible contra el robo y destrucción de los mismos. El sistema de antivirus debe ser actualizado de forma periódica.
Cortafuegos (firewalls)
Para evitar accesos remotos indebidos a los datos personales debe haber un cortafuegos (firewall) activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
Cifrado de datos
Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se debe valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los mismos.
Copia de seguridad
Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utilice para el trabajo diario. La copia se debe almacenar en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
Revisión de las medidas de seguridad
Las medidas de seguridad deben ser revisadas de forma periódica, pudiéndose hacer la revisión por mecanismos automáticos (software o programas informáticos) o de forma manual.
7. ZONA DE USUARIOS EN LA PÁGINA WEB
Para acceder a la Zona de usuarios de la página web hay que teclear una contraseña, formada por 8 caracteres alfanuméricos, que se comunica de forma confidencial a todos los socios.
ANEXO
Cláusula informativa sobre protección de datos
¿Quién es el Responsable del tratamiento de tus datos personales?
¿Con qué finalidad tratamos tus datos personales?
En la Asociación Open Your Spain tratamos la información que nos facilitas con el fin de gestionar tu pertenencia a la Asociación y ofrecerte servicios.
¿Durante cuánto tiempo conservaremos tus datos?
Los datos personales proporcionados se conservarán mientras pertenezcas a Asociación Open Your Spain.
¿Cuál es la base legal o legitimación para el tratamiento de tus datos personales?
La base legal o legitimación para el tratamiento de tus datos personales es el consentimiento que nos prestas.
¿A qué destinatarios se comunicarán tus datos personales?
Tus datos personales no se comunicarán a ninguna entidad ajena a la Asociación, salvo en las condiciones legales. Por ejemplo, Asociación Open Your Spain gestiona el listado de socios según un modelo de “informática en la nube”, lo que supone la transferencia internacional de ese listado en virtud de un contrato otorgado con una entidad (Google Drive) acogida al “Escudo de privacidad entre la UE y EE.UU.” aprobado en 2016, que garantiza un nivel de tratamiento similar al existente en la UE, independientemente del lugar de ubicación.
¿Qué derechos tienes en relación con tus datos personales?
Tienes derecho a obtener confirmación sobre si en la Asociación Open Your Spain tratamos datos personales tuyos, o no.
En concreto, tienes derecho de acceso a tus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, a pedir su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos. En determinadas circunstancias, podrás solicitar la limitación del tratamiento de tus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.
En determinadas circunstancias, podrás oponerte al tratamiento de tus datos personales. La Asociación Asociación Open Your Spain dejará entonces de tratarlos, salvo por motivos legítimos imperiosos, o en el ejercicio o la defensa de posibles reclamaciones.
Todos estos derechos puedes ejercerlos dirigiéndote a la dirección electrónica de Asociación Open Your Spain (info@openyourspain.ru) acompañando una copia de tu DNI o documento equivalente acreditativo de tu identidad.