Marcovil – Metalomecânica de Viseu, S.A.

El objeto del presente Reglamento consiste en establecer las normas y los procedimientos internos para la aplicación del (RGPD) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

DEFINICIONES, DERECHOS Y OBLIGACIONES

1) A efectos del RGPD, son datos personales todos aquellos que puedan identificar a una persona, como nombre, dirección, IP, NIF, número de usuario del Servicio de Salud, hábitos de consumo.

2) El RGPD únicamente se aplica a los datos de las personas físicas, no a las empresas ni a sus datos.

3) El responsable del tratamiento de los datos personales es MARCOVIL – Metalomecânica de Viseu, S.A.

4) Los titulares de los datos tienen los siguientes derechos:

• Derecho de acceso,
• Derecho de rectificación,
• Derecho de supresión,
• Derecho a la limitación del tratamiento,
• Derecho a la portabilidad de los datos,
• Derecho de oposición y decisiones individuales automatizadas.

5) Cuando el titular de los datos desee ejercer cualquiera de estos derechos, el responsable del tratamiento debe procurar responder lo antes posible, disponiendo para ello de un plazo máximo de 30 días, respondiendo de forma clara, concisa y suficiente.

6) El responsable del tratamiento debe establecer y aplicar normas o procedimientos administrativos internos para facilitar al titular de los datos el ejercicio de sus derechos.

7) Sin perjuicio de cualquier otra vía de recurso administrativo o judicial, el titular de los datos tiene derecho a presentar una reclamación ante la CNPD u otra autoridad de control competente en derecho, si considera que sus datos no están siendo legítimamente tratados por MARCOVIL, de conformidad con la legislación aplicable y la presente Política.

8) Deber de información: En el momento de la recogida de los datos, los titulares de los datos deben ser informados de lo siguiente:

• La identidad y los datos de contacto del responsable del tratamiento,
• Los fines del tratamiento de los datos personales,
• Su destino,
• Los fundamentos jurídicos del tratamiento,
• Los destinatarios o categorías de destinatarios de los datos personales, en su caso,
• El período de conservación,
• La transferencia a terceros países, si procede,
• La existencia del derecho de acceso, rectificación y supresión y limitación del tratamiento,
• La existencia del derecho a oponerse al tratamiento,
• La información sobre si puede retirar el consentimiento en cualquier momento,
• La existencia del derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles,
• El derecho a la portabilidad de los datos,
• El derecho a ser informado sobre la existencia de una violación de datos,
• El derecho a reclamar ante una autoridad de control.

9) Los datos personales deben tratarse de forma lícita, leal y transparente en relación con el titular de los datos.

10) Las personas físicas deben poder comprender la forma en que se recopilan, utilizan, acceden o tratan de otro modo los datos personales que les conciernen y en qué medida son o serán tratados.

11) Los procedimientos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.

12) Los datos personales sólo podrán tratarse cuando la finalidad del tratamiento no pueda conseguirse por otros medios.

13) Los procedimientos serán precisos y se actualizarán cuando sea necesario.

14) Se deben tomar todas las medidas necesarias para garantizar que los datos que sean inexactos, teniendo en cuenta los fines para los que se tratan, se supriman sin demora.

15) Los datos deberán conservarse en una forma que permita la identificación de los titulares de los mismos durante un período no superior al necesario para los fines para los que se tratan.

16) El responsable del tratamiento de los datos debe aplicar una política de mantenimiento, archivo y supresión de datos que garantice que los datos no se conservan más tiempo del necesario.

17) Los datos se deben tratar de manera que se garantice su seguridad, incluida la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daños accidentales, adoptando las medidas técnicas u organizativas adecuadas.

18) El responsable del tratamiento debe poder demostrar que el titular de los datos ha consentido de forma libre e informada el tratamiento de los datos personales, ya que el consentimiento verbal o incluso tácito o de otro tipo no ofrece tales garantías, al no acreditar que el consentimiento haya sido libre, específico, informado, explícito e inequívoco.

19) El responsable del tratamiento de datos personales debe garantizar:

• Que los datos personales que posee son legítimos y se limitan a lo necesario,
• Que los datos están actualizados, son seguros y confidenciales,
• Que cuenta con políticas, procedimientos, códigos de conducta e instrucciones internas formalizadas que pueden ponerse a disposición de los organismos de control,
• Que dispone de sistemas para controlar el cumplimiento de las políticas y procedimientos,
• Que cuenta con el mecanismo permanente y dinámico de verificación del cumplimiento del RGPD,
• Demostrar con pruebas el cumplimiento del RGPD,
• Promover auditorías en el marco de un control permanente para verificar la eficacia de las medidas implantadas y, en su caso, modificarlas,
• El responsable del tratamiento de datos tiene la obligación de notificar al órgano de control, que en Portugal es la Comisión Nacional de Protección de Datos, todas las violaciones de datos que impliquen un riesgo para el titular, y dicha notificación debe realizarse en un plazo de 72 horas.

APLICACIÓN DEL REGLAMENTO

Datos personales

 1) Los datos de carácter personal recogidos y conservados por la empresa son siempre derivados de las relaciones contractuales que se establezcan con los empleados o prestadores de servicios, o incluso en el ejercicio de su objeto social, con clientes y proveedores, subcontratistas o subcontratados, y son los siguientes:

2) Nombre, número de identificación fiscal, número de identificación en la seguridad social, número de documento de identificación, estado civil, hogar y domicilio, así como otros que puedan ser exigidos en virtud de obligaciones legales derivadas de relaciones laborales con empleados o colaboradores, debiendo cumplir los plazos y términos de las respectivas declaraciones de consentimiento.

3) Nombre, dirección, número de teléfono, dirección de correo electrónico y cualesquiera otros que puedan ser necesarios en el desempeño de cualquier servicio o trabajo a realizar.

Recogida, consentimiento y tratamiento de datos personales

Los datos que se obtienen pueden tener diversos orígenes:

• En el curso de la solicitud o preselección en el ámbito de la celebración de contratos de trabajo o prestación de servicios,
• A través de un contrato celebrado con proveedores o clientes,
• A través del contacto por correo electrónico u otros medios electrónicos de comunicación,
• A través de una llamada telefónica a la empresa,
• Mediante visita personal a nuestras instalaciones.

Cuando se recopilan datos mediante contratos o recopilación de datos con contacto directo con la persona, se informa a ésta sobre sus derechos y se le pide su consentimiento para el tratamiento de datos.

En caso de contacto telefónico, el empleado administrativo u otro empleado que realice la recogida de los datos informa a la persona en cuestión de que a continuación le enviará un correo electrónico con sus datos, pidiéndole que responda dando su consentimiento expreso al tratamiento de los datos o, en caso de imposibilidad, que se pase por los locales para confirmar dicho consentimiento por escrito.

Todos los datos recogidos se introducen en el software de la empresa con las protecciones legalmente exigidas.

Los datos que son objeto de almacenamiento digital están encriptados/protegidos.

El responsable del tratamiento de los datos es MARCOVIL – Metalomecânica de Viseu, S.A., persona jurídica nº 501 869 174, con domicilio social en Parque Industrial de Coimbrões, 3501-908 Viseu. El e-mail de contacto para la activación de derechos u obligaciones relacionados con el tratamiento o la protección de datos personales es: ladivpar@marcovil.com.

Además del responsable del tratamiento, los comerciales pueden tener acceso a los datos del cliente que se puso en contacto con ellos o que contrataron para la ejecución del servicio o trabajo previsto.

Todas las personas de la empresa con posible acceso a datos personales han sido informadas de las normas contenidas en el RGPD y de las consecuencias por su tratamiento indebido.

Todos los datos contenidos en documentos físicos, ya sean formularios de visita de clientes, contratos de suministro de bienes o servicios, presupuestos, piezas o proyectos diseñados que integren o incorporen datos de carácter personal, son almacenados en soporte informático y en soporte físico en caso necesario, cumpliendo con las protecciones legalmente exigidas.

Período de conservación de los Datos Personales

Los datos se conservan mientras duren las obligaciones legales derivadas de los contratos celebrados, es decir, durante el período de garantía y control de calidad de los servicios prestados o instalaciones realizadas según lo estipulado para cada trabajo, y también, ampliando este período si surgen otros motivos legales, especialmente litigios fiscales y administrativos, así como judiciales, en los que exista una relevancia directa en su mantenimiento para la instrucción de los procesos o con fines probatorios, continuando su mantenimiento hasta una decisión judicial definitiva o por otro medio de resolución del litigio.

Los plazos de conservación de los datos relativos a empleados y prestadores de servicios varían en función de las necesidades que surjan, a saber:

• Los datos cuya finalidad sea la mera gestión y el control administrativo se eliminarán transcurrido un año después de la extinción del contrato de trabajo, sin perjuicio de la necesidad de conservarlos durante un plazo superior, especialmente debido a reclamaciones o al ejercicio de derechos, incluidos los de naturaleza judicial o administrativa, cuya necesidad se produzca tras la extinción del contrato y durante dicho período.
• El plazo de conservación de los datos a efectos de exigencias legales, especialmente los registros de remuneraciones y otras prestaciones de carácter retributivo, así como los relacionados directa o indirectamente con el cumplimiento de obligaciones fiscales o tributarias derivadas o relacionadas con el contrato de trabajo, será de diez años, de manera que, a efectos de litigios judiciales, administrativos, arbitrales o de otro tipo, en particular con fines probatorios, dicho plazo de conservación de datos podrá ampliarse durante el tiempo que sea necesario para estos fines.
• Para el cumplimiento de obligaciones posteriores a la extinción del contrato de trabajo, los datos relevantes a efectos fiscales o de cotización para pensiones de jubilación u otras prestaciones de la Seguridad Social, u otras prestaciones complementarias, y que sean estrictamente necesarios para acreditar la condición de trabajador y su respectivo historial de cotización, se conservarán durante un plazo de veinte años tras la extinción de las obligaciones a estos efectos, salvo que para el ejercicio de derechos por vía judicial o administrativa se requiera un plazo superior.
• Los datos de carácter personal relativos a la seguridad y salud en el trabajo y sobre actividades e informes para su promoción, accidentes laborales, evaluación de riesgos profesionales, así como la documentación acreditativa exigida por la legislación, auditorías e inspecciones internas, se conservarán durante un plazo mínimo de cinco años tras la extinción del contrato de trabajo para su puesta a disposición de las entidades con facultades inspectoras, pudiendo ampliarse dicho plazo a efectos probatorios si para el ejercicio de algún fin legal o judicial fuera necesario un plazo superior.
• Los datos clínicos son obtenidos directamente por los profesionales sanitarios y sólo pueden facilitarse a las autoridades sanitarias o a la Autoridad para las Condiciones de Trabajo (ACT), así como en el ámbito de los procesos e investigaciones en curso a las autoridades judiciales, y sólo deben conservarse durante el período necesario para los fines del diagnóstico y el tratamiento posterior, salvo en caso de accidente de trabajo o enfermedad profesional, o cuando exista riesgo patógeno o de contaminación, en cuyo caso deberán conservarse durante un período mínimo de cuarenta años, pudiendo conservarse la información más allá de este período durante el tiempo que sea necesario, especialmente en procedimientos judiciales o en casos de revisión por incapacidad.

Los datos procedentes de solicitudes de empleo espontáneas o dirigidas a vacantes publicadas se conservarán durante un año como máximo.

Comunicación de datos personales a otras entidades

Los datos personales recogidos de empleados y proveedores de servicios pueden tener los siguientes destinatarios:

• Todas las entidades públicas, administrativas, autoridades judiciales, policiales u otras, a las que deban ser comunicados para el cumplimiento de la ley o los reglamentos, así como en el ejercicio de actividades de inspección en las que dichas entidades tengan la prerrogativa legal o funcional de acceder a los datos personales
• Entidades bancarias que gestionen el pago de salarios u otras percepciones dinerarias derivadas del contrato de trabajo
• Entidades públicas o privadas que gestionen Fondos de Pensiones o Planes de Previsión derivados del contrato de trabajo
• Las compañías de seguros con las que el empleador contrate pólizas en las que el trabajador sea el asegurado, concretamente en el ámbito de accidentes de trabajo o accidentes personales o cualquier otra garantía de responsabilidad civil contractual o extracontractual
• Entidades privadas que promuevan, a través de un contrato de servicios o de otro modo, el cumplimiento de obligaciones legales, contables, de inspección o auditoría en el ámbito de la auditoría de cuentas; en el ámbito de la seguridad e higiene en el trabajo; formación, o incluso viajes de trabajo
• Entidades públicas o privadas con las que MARCOVIL tenga la condición de contratista, subcontratista o subcontratado y cuando exista la obligación, por razones legales o contractuales, de controlar o acceder a las instalaciones de terceros por razones de seguridad e higiene en el trabajo, concretamente para la implantación de procedimientos y normas de seguridad o para la ampliación en el ámbito de protección y cobertura en las pólizas relativas al seguro de accidentes de trabajo
• Para el ejercicio de derechos o defensa en el ámbito del mandato judicial otorgado a un profesional del derecho en virtud de los respectivos términos legales

 Los datos personales de terceros entregados y conservados por MARCOVIL, en el ejercicio de su actividad y por ningún motivo, son transmitidos o compartidos con otras empresas o entidades públicas o privadas, salvo en cumplimiento de obligaciones legales y cuando sean solicitados por organismos públicos y administrativos o judiciales, u otras entidades investidas de facultades legales para dicho acceso.

En el ejercicio de su actividad, MARCOVIL no implantará sistemas que puedan dar lugar a decisiones individuales automatizadas, incluida la elaboración de perfiles.

Ejercicio de los derechos por los titulares de los datos personales

Cuando el titular de los datos desee ejercer alguno de los derechos previstos en la ley, podrá solicitarlo por escrito a través de la dirección de correo electrónico (email) ladivpar@marcovil.com o enviarlo a Parque Industrial De Coimbrões, Apto. 250, 3501-908 Viseu.

Al menos una vez al mes, el responsable del tratamiento verificará la seguridad física de los documentos en papel y la codificación de los datos informáticos mencionados.

Siempre que de la práctica actual se desprendan razones para ello, deberán introducirse mejoras en la aplicación de los procedimientos o reglamentos internos.

Cada treinta días deberá realizarse una comprobación de los datos a suprimir cuyo período de conservación haya expirado.

La presente norma entró en vigor en el MARCOVIL con efectos de 07 de mayo de 2018