PORTAL DE PRIVACIDAD DEL GRUPO WORLD2MEET (W2M)

Bienvenido al Portal de la Privacidad del GRUPO W2M. En el encontrará información importante sobre el tratamiento de sus datos personales y los derechos que le reconoce la normativa vigente en la materia. 

I) NUESTRAS POLÍTICAS DE PRIVACIDAD 
II) SUS DERECHOS
III) NUESTRAS GARANTIAS DE CUMPLIMIENTO

---

I) NUESTRAS POLÍTICAS DE PRIVACIDAD 

Consulte las políticas de privacidad aplicables a la consolidación de datos a nivel del grupo W2M:

• POLÍTICA DE PRIVACIDAD APLICABLE A LA CONSOLIDACIÓN DE DATOS PERSONALES PARA FINES ADMINISTRATIVOS INTERNOS DEL GRUPO WORLD2MEET (W2M)
• POLÍTICA DE PRIVACIDAD APLICABLE A LA EXPLOTACIÓN COMERCIAL DE DATOS DE CLIENTES Y DE CLIENTES POTENCIALES POR EL GRUPO WORLD2MEET (W2M)

 

II) SUS DERECHOS

La normativa le reconoce el derecho a solicitar el acceso, la rectificación, la supresión, la portabilidad de sus datos personales, así como la limitación u oponerse al tratamiento de los mismos. También tiene derecho a revocar el consentimiento que hubiese prestado para determinadas finalidades, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada, y a presentar una reclamación ante la Agencia Española de Protección de Datos o cualquier otra autoridad de control competente. 

Puede consultar el listado y los datos de contacto de las agencias de protección de datos europeas en la web de la Comisión Europea en http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612080.

1) ¿En qué consisten sus derechos?

• Derecho de acceso (Art. 15 RGPD): es el derecho a obtener confirmación de si se están tratando o no sus datos personales y, en tal caso, acceder a los mismos y a la información sobre los fines del tratamiento, las categorías de datos personales tratados, los destinatarios, el plazo o criterio previsto de conservación de los datos personales, la existencia de otros derechos de aplicación, información sobre el origen de los datos cuando no se hayan obtenido del interesado y la existencia de decisiones automatizadas, así como las consecuencias previstas de dicho tratamiento para el interesado. También tiene el derecho de solicitar una copia de sus datos. 
• Derecho de rectificación (Art. 16 RGPD): es el derecho a que se modifiquen los datos que resulten ser inexactos o incompletos.
• Derecho de supresión (Art. 17 RGPD): es el derecho a obtener, en determinadas circunstancias, la supresión de los datos personales que le conciernan.
• Derecho de limitación del tratamiento (Art. 18 RGPD): es el derecho a la limitación del tratamiento de sus datos, en determinadas circunstancias. En tal caso, sólo trataremos los datos afectados para la formulación, el ejercicio o la defensa de reclamaciones o con miras a la protección de los derechos de otras personas.
• Derecho a la portabilidad de los datos (Art. 20 RGPD): es el derecho a recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, en determinadas circunstancias.
• Derecho de oposición (Art. 21 RGPD): es el derecho a oponerse, en determinadas circunstancias y por motivos relacionados con su situación particular, al tratamiento de sus datos personales. En este caso, dejaremos de tratar los datos salvo por motivos legítimos imperiosos que prevalezcan sobre sus intereses o derechos y libertades, o para la formulación, el ejercicio o la defensa de reclamaciones.
   

2) ¿Cómo ejercitar sus derechos?

Los derechos reconocidos por la LOPD son personalísimos y sólo pueden ser ejercitados por las personas titulares de los datos o sus representantes. 

Para ejercer sus derechos de protección de datos puede remitir una solicitud por correo postal o electrónico indicando el o los derechos que desea ejercitar a: 

  Grupo W2M – Attn. Responsable para la atención de los derechos RGPD
  C/General Riera 154, 07010 Palma (Illes Balears), España.
  Email: dataprotection@w2m.com

Su solicitud deberá contener los siguientes elementos:

• Elementos acreditativos de su identidad;
• En su caso, elementos acreditativos de la identidad de su representante y acreditación de la existencia de dicha representación;
• Identificación del derecho que desea ejercitar y, en su caso, correspondientes justificativos.
• Derecho de acceso: La solicitud deberá indicar los datos o actividades de tratamiento afectados por el ejercicio del derecho. En caso de solicitar el acceso a imágenes recabadas mediante videovigilancia, la solicitud deberá ir acompañada de una imagen actualizada del afectado (Instrucción 1/2006 de la AEPD).
• Derecho de rectificación: La solicitud deberá indicar los datos que se desean rectificar y, en su caso, aportar prueba de su inexactitud o carácter incompleto.
• Derecho de supresión: La solicitud deberá indicar sobre qué datos se ejerce el derecho de supresión.
• Derecho de limitación: La solicitud deberá indicar los datos sobre los cuales se solicita la limitación del tratamiento, así como el motivo en que se fundamenta la solicitud.
• Derecho a la portabilidad de datos: La solicitud deberá indicar los datos personales sobre los cuales se ejerce el derecho, así como, en su caso, identificar al tercero responsable al que desea que se transmitan sus datos.
• Derecho de oposición: La solicitud deberá identificar los tratamientos a los que el interesado desea oponerse. Cuando la oposición afecte a tratamientos amparados en la existencia de un interés legítimo del Grupo W2M, deberá indicar los motivos relacionados con su situación particular en los que fundamenta su solicitud. 
• Revocación del consentimiento: La solicitud deberá indicar los tratamientos objeto de dicha revocación.

Baja de los tratamientos con fines comerciales: En cualquier momento podrá revocar el consentimiento que haya prestado para el tratamiento de sus datos para fines comerciales, incluidos los perfiles comerciales, o modificar sus preferencias al respecto según los mecanismos que se describen en el apartado “¿Cuáles son sus derechos?” de la POLÍTICA DE PRIVACIDAD APLICABLE A LA EXPLOTACIÓN COMERCIAL DE DATOS DE CLIENTES Y DE CLIENTES POTENCIALES POR EL GRUPO W2M.

3) ¿Como acreditar su identidad?

Son admitidos como elementos identificativos los siguientes:

• Fotocopia de documento nacional de identidad, o de pasaporte u otro documento identificativo válido; o instrumentos electrónicos equivalentes;
• Firma electrónica reconocida;
• Cuando la solicitud se realiza a través de un canal en la que se requiere la identificación del usuario, uso de los credenciales de acceso del interesado.
• Cualquier otro medio que permita identificar al interesado sin lugar a duda.

Podrá obtener más información sobre sus derechos en la página de la Agencia Española de Protección de Datos en www.aepd.es, en la página de la autoridad de protección de datos de su país

Para cualquier duda sobre el tratamiento de sus datos personales puede contactar con el Delegado de Protección de Datos del GRUPO W2M en dpo@w2m.com.

 

III) NUESTRAS GARANTIAS DE CUMPLIMIENTO

El grupo W2M aplica medidas técnicas y organizativas para que los tratamientos de datos personales llevados a cabo por las empresas del grupo sean conformes con los requisitos del Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 -RGPD) y asegurar la protección de los derechos del interesado.

A continuación, encontrará una descripción general de los elementos de cumplimiento con los que cuenta el grupo para cumplir con el principio de responsabilidad proactiva (1) y de las medidas de seguridad que hemos implantado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento (2).

4) Elementos de cumplimiento y medidas de responsabilidad proactiva

1. Modelo de gestión: El grupo W2M ha definido un modelo de gestión de la privacidad. Lo compone un conjunto de recursos y documentación, mediante los cuales se definen las políticas a aplicar para el tratamiento y la seguridad de los datos personales; se detallan los flujos de información para cada una de las actividades de tratamiento desarrolladas por las empresas del grupo; se establecen las funciones y obligaciones del personal; se definen los procedimientos técnicos y organizativos para el correcto tratamiento y la seguridad de la información personal y se establece la estructura organizativa para soportar los citados procedimientos.
2. Plataforma de gestión del cumplimiento de la normativa de protección de datos: La aplicación de nuestro modelo de gestión está soportada por la utilización de una plataforma de gestión de cumplimiento. Esta plataforma permite, entre otras cosas, documentar los flujos de datos y mantener el registro de las actividades de tratamiento realizadas por las empresas del grupo, analizar y gestionar los riesgos de protección de datos generados por dichas actividades y registrar evidencias del cumplimiento.
3. Soporte organizativo: El grupo W2M cuenta con el oportuno soporte organizativo y ha definido las funciones necesarias para aplicar y controlar el cumplimiento de las políticas, normas y procedimientos definidos en materia de privacidad. La estructura organizativa que se ha definido incluye las siguientes posiciones:
   • Delegado de Protección de Datos. El DPD asume las funciones de asesoramiento, supervisión e interlocuciones previstas en el art. 39 RGDP. El nombramiento de nuestro DPD ha sido notificado a la Agencia Española de Protección de Datos. Puede contactar con nuestro DPD en: dpo@w2m.com; 
   • Coordinadores de privacidad para las áreas de negocio y de gestión del grupo;
   • Responsable para la atención de los derechos de protección de datos;
   • Responsable de seguridad para coordinar y controlar la aplicación de las políticas y medidas de seguridad definidas por el grupo.
4. Gestión del riesgo en Privacidad: El grupo W2M cuenta con un procedimiento para detectar, evaluar y gestionar los riesgos para las libertades y los derechos de los interesados. Nuestra plataforma de gestión del cumplimiento de la normativa de protección de datos incluye una herramienta para evaluar y gestionar los riesgos para las libertades y los derechos de los interesados que son planteados por los tratamientos de datos llevados a cabo por las empresas del grupo. Esta herramienta está actualizada a la última guía de la AEPD sobre la gestión de riesgos.
5. Medidas de cumplimiento dirigidas a los trabajadores:
   • Deber de secreto: Todos los trabajadores formalizan un compromiso de confidencialidad en el momento de su alta. Esta obligación de confidencialidad perdura aun después de finalizar sus relaciones con el grupo.
   • Normas de privacidad: Se han elaborado normas de privacidad y de uso de los medios digitales del grupo que definen las funciones y las obligaciones de los trabajadores en estas materias y son de obligatorio cumplimiento por su parte.
   • Formación y sensibilización: El grupo cuenta con un plan de formación y sensibilización para fomentar el cumplimiento de la normativa y la adopción de buenas prácticas en la materia. Todos los trabajadores reciben una formación general en materia de protección de datos personales para que conozcan los riesgos, las normas y los protocolos o procedimientos de privacidad que les afectan. Además de la formación general, se imparten formaciones complementarias a los integrantes del soporte organizativo definido por Grupo W2M para la gestión del cumplimiento de la normativa de protección de datos y a aquellas áreas de negocio que pueden plantear riesgos particulares en la materia.
   • Establecimiento de un régimen disciplinario: El incumplimiento de las normas de privacidad y de uso de los medios digitales del grupo se considera como una infracción muy grave y da lugar a la aplicación del correspondiente procedimiento sancionador.
6. Gestión de terceros con acceso a datos o instalaciones: El grupo W2M ha definido un procedimiento para regular la contratación de los servicios que supongan el acceso a las instalaciones, a los sistemas de información o a documentos de la organización. Este procedimiento contempla específicamente la selección y la gestión de encargados del tratamiento, en particular la evaluación de la adecuación de las garantías aportadas por el proveedor atendiendo al nivel de riesgo del servicio y la formalización de un contrato de encargo de tratamiento con el contenido exigido por el art. 28 RGPD. En función del tipo de servicios contratados los requisitos de seguridad se definen en SLA.
   Los proveedores externos que tienen acceso a las instalaciones del grupo, pero no a datos personales, deben formalizar un compromiso de confidencialidad. La plataforma de gestión de cumplimiento del grupo permite registrar los encargos y subencargados que se producen, así como los flujos de datos asociados, para realizar un seguimiento de las garantías que fueron tenidas en cuenta en el momento de su contratación.
7. Atención los derechos de protección de datos: El grupo ha definido un procedimiento interno y nombrado un responsable para la atención a los derechos de protección de datos para garantizar que se hagan efectivos el ejercicio de dichos derechos dentro de los plazos legales y cuando la solicitud sea relativa a un tratamiento de datos realizado por el Grupo W2M por cuenta de otros responsables del tratamiento, se aplique el procedimiento previsto en el correspondiente contrato de encargo de tratamiento.
8. Mecanismos para la limitación del plazo de conservación: Para cada actividad de tratamiento se han definido los plazos durante los cuales se conservarán los datos personales objeto del tratamiento o, cuando ello no sea posible, los criterios utilizados para determinar dichos plazos. El grupo ha definido un procedimiento para el bloqueo y la destrucción de los datos, conforme a lo previsto por el artículo 32 de la L.O. española 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales a la que el Grupo W2M está sujeto. La destrucción o el borrado de los datos siempre se realizará mediante mecanismos que eviten su recuperación posterior. La destrucción de documentos se hace mediante destructoras de documentos o mecanismos de destrucción segura alternativos.
9. Gestión de incidencias de privacidad: El grupo W2M cuenta con un procedimiento para la gestión de incidencias de privacidad, la evaluación del nivel de riesgo de las brechas de seguridad para las libertades y los derechos de los interesados y la eventual notificación de dichas brechas a la Agencia Española de Protección de Datos y, en su caso, a los interesados, de acuerdo con los requisitos previstos por los artículos 33 y 34 del RGPD.
10. Revisiones periódicas: La adecuación, la idoneidad y la eficacia del modelo de gestión del cumplimento del grupo son objeto de verificación periódica a los efectos de garantizar:
    • La adecuada detección y mitigación de los riesgos;
    • La adaptación a los cambios sectoriales, legislativos o jurisprudenciales que se produzcan;
    • La adaptación a los cambios de criterio del regulador;
    • La adaptación a los cambios que se produzcan en el grupo, en la estructura de control o en la actividad desarrollada por la organización.
    • Los procedimientos de control del grupo incluyen la revisión de los elementos de cumplimiento y la comprobación de la aplicación y de la eficacia de los procedimientos de cumplimiento de las medidas de responsabilidad proactiva adoptadas por el grupo.
11. Gestión de terceros con acceso a datos o instalaciones: El grupo W2M ha definido un procedimiento para regular la contratación de los servicios que supongan el acceso a las instalaciones, a los sistemas de información o a documentos de la organización. Este procedimiento contempla específicamente la selección y la gestión de encargados del tratamiento, en particular la evaluación de la adecuación de las garantías aportadas por el proveedor atendiendo al nivel de riesgo del servicio y la formalización de un contrato de encargo de tratamiento con el contenido exigido por el art. 28 RGPD. En función del tipo de servicios contratados los requisitos de seguridad se definen en SLA.
     

5)    Medidas de seguridad

A continuación, encontrará información sobre las medidas de seguridad aplicadas a los sistemas de tratamiento utilizados por el grupo W2M.

1. Control de acceso: En la gestión de usuarios se aplica una política de mínimo acceso en relación con las funciones de cada puesto de trabajo. Todos los sistemas cuentan con una gestión de usuarios personalizados, cambios periódicos de contraseñas, limitación de intentos de acceso y reglas de complejidad para las claves. Se han implementado sistemas de registros de acceso con alertas en caso de detectar patrones de acceso que pueden suponer una amenaza para la seguridad.
2. Copias de seguridad: Las bases de datos y los sistemas disponen de mecanismos de copia de respaldo y recuperación, con la frecuencia y retención necesarias para garantizar la continuidad de las operaciones desde cualquier punto de fallo.
3. Seguridad en el almacenamiento: Se aplica redundancia en los sistemas críticos y las bases de datos se almacenan encriptadas.
4. Seguridad de las redes y las comunicaciones: Todas las comunicaciones entre centros de proceso y oficinas se producen a través de una red corporativa privada que cuenta con mecanismos de prevención y detección de intrusión. Las conexiones desde fuera de esta red se producen mediante tecnología de VPN o mediante intercambios de datos cifrados con controles a nivel de IP.
5. Protección contra software malicioso: Tanto a nivel de puesto de trabajo como de servidores se dispone de sistemas antivirus y antimalware que se actualizan continuamente.
6. Seguridad física y del entorno: El grupo W2M no dispone de centros de proceso de datos propios y tiene hospedados todos sus servidores en servicios cloud de diferentes proveedores, que garantizan su nivel de seguridad mediante acuerdos de nivel de servicio respaldados con las correspondientes certificaciones en seguridad. El proveedor principal de infraestructura es MS AZURE. Puede consultar información sobre la seguridad aplicada por este proveedor de servicios en la nube en los siguientes enlaces:
   https://servicetrust.microsoft.com/ViewPage/SpainComplianceResources y
   https://www.microsoft.com/es-xl/trustcenter/default.aspx
   En el caso de infraestructuras gestionadas directamente (puestos de trabajo y redes locales), se dispone de mecanismos para la distribución de actualizaciones, de manera que se garantice la instalación de cualquier parche de seguridad disponible.
7. Mecanismos de detección y respuestas ante incidencias de seguridad: Gestión de alertas de los diferentes sistemas y procedimientos para la comunicación de incidencias por parte de los usuarios. Se dispone de herramientas para el registro y seguimientos de las acciones de respuesta.
8. Plan de acción en materia de ciberseguridad: Comunicados periódicos internos a los trabajadores en materia de phishing y otros posibles ataques dirigidos a los usuarios. Aplicación de un protocolo para la detección y gestión de fraudes.