Política de protección de datos Índice de contenidos Legislación y guíasDefinicionesResponsable del tratamientoFunciones y responsabilidadesÓrgano de AdministraciónResponsabilidad de Protección de DatosDelegación de Protección de Datos (DPD)PersonalPrincipios de Protección de DatosRecogida de Datos PersonalesComunicación de Datos a TercerosPlazo de Conservación de DatosTransferencias Internacionales de DatosGestión de Brechas de SeguridadEvaluaciones de Impacto en Protección de Datos (EIPD)Ejercicio de DerechosSeguridad en el Tratamiento de DatosProtección de Datos Desde el Diseño y por DefectoDocumentos RelacionadosCumplimiento y Mantenimiento de la Presente Política Legislación y guías La presente Política cumple con los requisitos del RGPD, de la LOPDGDD y con las Guías e Informes que publica la Agencia Española de Protección de Datos (AEPD). Definiciones Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Persona responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Persona encargada del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la persona responsable del tratamiento. Consentimiento de la persona interesada: toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona interesada acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Violación (o brecha) de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Persona responsable de Protección de Datos: persona o personas a las que la persona Responsable de Tratamiento ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Persona delegada de Protección de Datos: persona encargada de informar, asesorar y supervisar el cumplimiento de lo dispuesto en la normativa de protección de datos. Documento de Seguridad: documento que recoge las medidas de seguridad técnicas y organizativas que aplica la persona Responsable a los tratamientos de datos personales que realiza. Responsable del tratamiento ARAGÓN INNOVACIÓN TECNOLÓGICA S.L.L., en adelante ARANOVA, es responsable del tratamiento de los datos personales. Dispone del correspondiente Registro de Actividades de Tratamiento conforme a la normativa vigente. Funciones y responsabilidades La presente Política se aplica a todas las personas que forman parte del equipo humano de ARANOVA, Su incumplimiento puede derivar en acciones disciplinarias. Órgano de Administración El Administrador único de ARANOVA, tiene la responsabilidad general de garantizar que la empresa cumpla con todas las obligaciones de protección de datos. Responsabilidad de Protección de Datos La responsabilidad de Protección de Datos en ARANOVA, corresponde a Pablo Sánchez Gálvez. La persona responsable coordina y controla la aplicación de medidas de seguridad y los procesos de tratamiento de datos. El correo de contacto habilitado para consultas relacionadas con protección de datos es: pablo.sanchez@aranova.es Delegación de Protección de Datos (DPD) ARANOVA ha designado como Delegado de Protección de Datos (DPD) a Pablo Sánchez Gálvez. Es la persona que asume las siguientes funciones: Informar y asesorar a ARANOVA, y a sus empleados y empleadas que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas de ARANOVA, en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD y realizar consultas, en su caso, sobre cualquier otro asunto. El email del DPD es pablo.sanchez@aranova.es y se le puede consultar y comunicar cualquier asunto relacionado con el cumplimiento de la normativa de protección de datos en la empresa. Personal Todo el personal de ARANOVA, es responsable de: Recabar, almacenar y procesar cualquier dato personal de acuerdo con esta Política. Informar a la empresa sobre cualquier cambio que se produzca en sus datos personales. Contactar con el Responsable de Protección de Datos y/o el Delegado de Protección de Datos en caso de necesitar consultar alguna duda sobre el cumplimiento de la normativa de protección de datos y, concretamente, en las siguientes circunstancias: En caso de detección de un incumplimiento de la presente Política. En caso de dudar sobre si se dispone de una base legal para un tratamiento de datos concreto. En caso de necesitar recabar el consentimiento de la persona interesada, redactar una leyenda legal informativa, atender solicitudes de ejercicio de derechos o transferir datos personales fuera de la Unión Europea. En caso de tener constancia de una brecha de seguridad (pérdida, robo, destrucción, alteración, divulgación indebida, acceso indebido, etc.). En caso de realizar una nueva actividad que pueda afectar el derecho a la protección de datos de los y las interesados/as. En caso de necesitar ayuda con algún contrato que suscriba la empresa o con alguna comunicación de datos a terceros. Principios de Protección de Datos La normativa de protección de datos establece los siguientes principios que ARANOVA, debe cumplir: Licitud, lealtad y transparencia. Se deben tratar los datos de forma legal, leal y facilitando información clara a las personas interesadas. Limitación de la finalidad. Los fines del tratamiento de datos deben ser concretos, limitados. Minimización de datos. Se deben tratar los únicos datos que sean estrictamente necesarios para el desarrollo de la actividad. Exactitud. Los datos deben ser exactos y puestos al día. Limitación del plazo de conservación. Los datos no se deben conservar de forma indefinida por seguridad. Hay que determinar cuánto tiempo es necesario o legalmente obligatorio conservarlos. Seguridad, integridad y confidencialidad. Los datos personales deben conservarse y mantenerse de forma segura, íntegra y, por supuesto, confidencial. Recogida de Datos Personales Cada tratamiento de datos debe tener una o más bases legales que lo legitimen. Las posibles bases legales que contempla el RGPD son: Consentimiento. La persona interesada puede decidir si quiere o no que sus datos sean tratados. Ejecución de un contrato o aplicación de medidas precontractuales. El tratamiento es necesario para que se cumpla un contrato o éste se pueda llevar a cabo. Obligación legal. La persona Responsable o Encargada debe tratar los datos para cumplir una norma legal. Interés vital de la persona interesada o de otra persona. Dicho interés está por encima de la protección de sus datos por razones de urgencia vital. Interés público o ejercicio de poderes públicos. Esta base legal se reserva, sobre todo, para el tratamiento que pueden realizar las autoridades públicas. Satisfacción del interés legítimo de la persona Responsable del Tratamiento o de una tercero. Por ejemplo: tratamiento de datos con fines comerciales a quienes mantienen una relación jurídica previa con la empresa. Las bases legales para los tratamientos de datos registrados por ARANOVA, y contemplados en la presente Política han sido debidamente recogidos en la documentación jurídica de la que dispone la empresa en cumplimiento de esta normativa y en las leyendas legales informativas redactadas para las personas interesadas. Respecto al consentimiento de la persona interesada, se debe tener en cuenta que: Debe ser expreso, como norma general. Es decir, debe obtenerse mediante una acción afirmativa y por escrito. Se puede revocar en cualquier momento, sin perjuicio del tratamiento de datos efectuado hasta la revocación. En España un menor de edad puede consentir el tratamiento de sus datos personales a partir de los 14 años, salvo excepciones. No obstante, se recomienda que los tratamientos de datos de los y las menores sean siempre informados a sus representantes legales. Comunicación de Datos a Terceros Con carácter general, no se comunicarán datos personales a terceros, salvo que exista alguna base legal que lo permita (ver epígrafe 7). Concretamente, se podrán comunicar los datos personales estrictamente necesarios a aquellos proveedores con los que se haya suscrito el correspondiente Contrato de Encargado de Tratamiento, por prestar un servicio a la empresa que implica, necesariamente, el acceso a datos personales (de clientes, del personal, etc.). Asimismo, se podrán comunicar los datos personales estrictamente necesarios a autoridades públicas competentes, siempre que la solicitud esté debidamente motivada y se trate de un número concreto de personas afectadas, no de todo el conjunto (por ejemplo, no se facilitarán listados completos de clientes). Plazo de Conservación de Datos Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir la finalidad para la que fueron recabados o mientras exista una base legal que lo permita. Posteriormente, los datos serán conservados y bloqueados durante los plazos legales establecidos antes de su eliminación segura. Transferencias Internacionales de Datos ARANOVA, podrá realizar transferencias internacionales de datos fuera del Espacio Económico Europeo únicamente cuando sea estrictamente necesario y exista una base legal que lo permita. En dichos casos, se asegurará el uso de mecanismos legalmente reconocidos por la Comisión Europea, como cláusulas contractuales tipo, decisiones de adecuación o garantías adecuadas equivalentes. Gestión de Brechas de Seguridad Toda persona del personal que tenga constancia o sospecha de una brecha deberá informar de inmediato a la Responsabilidad de Protección de Datos o al DPD. El procedimiento de actuación incluye: Registro de la incidencia. Evaluación de gravedad y alcance. Determinación del riesgo. Notificación a la AEPD en un máximo de 72 horas si existe riesgo significativo. Comunicación a personas afectadas cuando proceda. Aplicación de medidas correctoras y preventivas. Evaluaciones de Impacto en Protección de Datos (EIPD) ARANOVA realizará una Evaluación de Impacto cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas, especialmente en casos de: tratamiento de datos sensibles, biométricos o de salud elaboración de perfiles monitorización sistemática de personas usuarias uso de tecnologías nuevas tratamiento a gran escala El DPD supervisará todo el proceso. Ejercicio de Derechos Las persona interesadas pueden ejercer los siguientes derechos: Acceso. Puede solicitar que se le indique qué información sobre su persona está tratando una entidad. Rectificación. Puede solicitar que se rectifiquen datos erróneos que una entidad tenga sobre su persona. Supresión. Puede solicitar que se eliminen datos que una entidad tenga sobre su persona. Derecho al olvido. Este derecho se ejerce, sobre todo, frente a buscadores de Internet, para que no se enlace información que se considera incorrecta u obsoleta y perjudique a su persona. Derecho a la limitación del tratamiento. Tiene derecho a solicitar que el tratamiento de sus datos se limite o se suspenda. Derecho a la portabilidad. Tiene derecho a solicitar que la entidad que trata sus datos los traslade a otra que prestará el mismo servicio. Derecho de oposición. Tiene derecho a oponerse a que sus datos sean tratados con determinados fines, como por ejemplo, publicitarios. Derecho a no ser objeto de decisiones individuales automatizadas. Ttiene derecho a que una entidad no adopte una decisión sobre él que se base únicamente en el uso de sistemas informatizados. Los derechos deben ejercerse mediante el procedimiento que se indique en las leyendas legales que recogen los documentos/formularios utilizados para recabar datos personales. Existe un plazo de un mes para atender las solicitudes de ejercicio de estos derechos, que podría ampliarse en función de su complejidad. El empleado y empleada que reciba o tenga constancia de que una persona interesada ha ejercido alguno de estos derechos, debe ponerlo en conocimiento inmediatamente de la persona Responsable de Protección de Datos Seguridad en el Tratamiento de Datos La empresa ARANOVA, aplica una serie de medidas de seguridad para proteger la integridad y confidencialidad de la información de carácter personal que trata. Todo el personal está obligado a cumplir dichas medidas de seguridad, que se resumen en el "Manual de Usuario" y en el "Acuerdo de Confidencialidad" que la persona trabajadora suscribe. Protección de Datos Desde el Diseño y por Defecto En ARANOVA,, se están aplicando los procedimientos necesarios para garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales. EnARANOVA, se han realizado análisis de riesgos para adoptar las medidas legales y de seguridad necesarias. Todas las actuaciones quedan documentadas y archivadas. Es fundamental la implicación y colaboración del personal de la empresa para cumplir la normativa de protección de datos. Además de contar con la persona Responsable de Protección de Datos, el personal dispone de recursos informativos en esta materia en el sitio web de la AEPD: www.aepd.es. Documentos Relacionados La presente Política se completa con los siguientes documentos: Registro de Actividades de Tratamiento Manual de Usuario Acuerdo de Confidencialidad Cumplimiento y Mantenimiento de la Presente Política La empresa ARANOVA, se reserva el derecho de emprender acciones de carácter legal o disciplinario contra el personal que incumpla la presente Política. El Pablo Sánchez Gálvez es el responsable de supervisar y mantener la presente Política, que será actualizada, al menos, cada 2 años. Esta política ha sido actualizada por última vez el 1 de diciembre de 2025.
