Política Corporativa sobre Protección de Datos Personales (ADIF)

Summary

This document is a corporate policy on data protection from ADIF, focusing on principles, scope, regulations and the rights of individuals concerning data protection. It details how personnels data will be handled, emphasizing data security and transparency.

Full Transcript

Política Corporativa
sobre protección de
datos personales
1. OBJETO
La presente política tiene por objeto reflejar los principios básicos que deben guiar la actuación de la
Entidad pública empresarial Administrador de Infraestructuras Ferroviarias (en adelante, ADIF) en los
tratamientos de datos de carácter personal que lleve a cabo. De esta forma, se busca establecer un marco
general a seguir en su quehacer profesional por todas las personas que integran ADIF a fin de hacerles
partícipes de su compromiso con el cumplimiento de la normativa en materia de protección de datos y, por
ende, con el respeto a la intimidad de las personas.

2. ALCANCE
La presente política es de obligado cumplimiento para todos los empleados de ADIF con independencia de
su actividad e intervención de forma directa o indirecta en el tratamiento de los datos personales.

Asimismo, los principios y las directrices establecidas en ella se aplicarán a todo encargado de tratamiento
que con motivo de la prestación de sus servicios participe en el tratamiento de los datos personales
responsabilidad de ADIF, indistintamente de que su personal desarrolle sus funciones en las instalaciones
de dichas entidades o del propio proveedor.

3. NORMATIVA DE REFERENCIA
El contenido de esta política se ha establecido de conformidad con los principios y las exigencias recogidas
en la normativa actualmente vigente en materia de protección de datos, a saber:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales. (en adelante, LOPDGDD)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, cuyos
preceptos son de aplicación siempre y cuando no contradigan lo establecido por el RGPD y la
LOPDGDD.

4. PRINCIPIOS CORPORATIVOS
La Entidad ADIF velará por el correcto uso de los datos personales de sus clientes, proveedores empleados
y de cualquier persona física relacionada con su entidad, estableciendo como parte de su cultura
corporativa los siguientes principios a este respecto:

Política corporativa sobre protección de datos personales Jefatura de Área de Cumplimiento Normativo
Febrero 2019 v.0.1. Rev. 1.2. Julio 2022 Pág. 2 de 6
 Los datos de las personas físicas se tratarán de forma lícita y de conformidad a lo establecido en la
legislación aplicable. Por tanto, se prohíbe la recopilación de los datos personales por medios
fraudulentos, desleales o ilícitos.

En el caso de que el tratamiento requiera el consentimiento del titular de los datos, ADIF adoptará
los mecanismos necesarios para que dicho consentimiento se preste de forma libre, específica,
informada, expresa e inequívoca.

Los datos personales se deberán tratar exclusivamente para la finalidad o las finalidades para las
que fueron recabados, prohibiéndose destinar los datos recabados para fines distintos de los
legitimados por la legislación y/o el consentimiento del titular.

La recogida de los datos personales debe ceñirse a aquellos datos que sean necesarios, adecuados y
pertinentes para las finalidades para los que se requieren.

Se velará por la exactitud de los datos tratados a través de la implantación de mecanismos que
permitan la supresión o rectificación de aquellos datos inexactos y/o desactualizados respecto a los
fines para los que se tratan.

La entidad ADIF deberá adoptar las medidas de seguridad que permitan garantizar un nivel
adecuado de protección de los datos personales que tratan, así como la minimización de los riesgos
asociados a su tratamiento a fin de poder asegurar la confidencialidad, la integridad y la
disponibilidad de aquellos.

Todo empleado de la entidad ADIF que maneje información que contenga datos personales y/o
participe de forma directa o indirecta en el tratamiento de estos tiene el deber de guardar secreto.
A este respecto ADIF adoptará las medidas técnicas y organizativas oportunas para asegurar la
confidencialidad de dicha información.

Se garantizará que los titulares de los datos personales puedan ejercer sus derechos con la mayor
facilidad posible y de forma gratuita.

Cuando ADIF contrate a terceros proveedores cuyos servicios impliquen su participación en el
tratamiento de los datos personales, verificará que estos reúnen las garantías necesarias y cumplen
con las medidas de seguridad oportunas para dar cumplimiento a las exigencias legales.

5. OBLIGACIONES DE LA ENTIDAD ADIF

5.1. Información y consentimiento

En ADIF se tomarán las medidas oportunas para facilitar a los interesados toda información indicada en el
RGPD.

Política corporativa sobre protección de datos personales Jefatura de Área de Cumplimiento Normativo
Febrero 2019 v.0.1. Rev. 1.2. Julio 2022 Pág. 3 de 6
En cuanto a la forma de proporcionar la información, se utilizará un lenguaje claro y sencillo y se facilitará
de forma que sea fácil acceder a ella con la finalidad de que el interesado pueda ser plenamente consciente
del tratamiento de sus datos.
Se garantizará el cumplimento del deber de información y la adecuada obtención del consentimiento
siguiendo las recomendaciones indicadas en el correspondiente Procedimiento de elaboración de
Clausulas.

5.2. Transparencia y acceso a la información pública

La publicidad activa y el acceso a la información pública se someterán, cuando la información contenga
datos personales, a lo dispuesto en la Ley de transparencia, acceso a la información y buen gobierno, y
a lo dispuesto en el RGPD.

5.3. Atención de los derechos

En ADIF se garantizarán los derechos a las personas físicas titulares de datos personales con relación a su
acceso, rectificación, supresión, oposición y limitación.

En el Procedimiento de atención de derechos se indican la operativa para la recepción y tramitación de las
solicitudes de ejercicio de derechos, así como los modelos generales de respuesta al ejercicio de derechos,
y los modelos particulares de respuesta al ejercicio de los mismos.

5.4. Registro de actividades de tratamiento

En ADIF se llevarán registros de las actividades de tratamiento efectuadas bajo su responsabilidad en los
que se incluirá la información establecida en el RGPD.

Las entidades ADIF disponen de un Procedimiento en el que se describe la metodología para la creación y
actualización del registro de actividades de tratamiento.

5.5. Encargados del tratamiento

En ADIF se garantizará que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico
con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del
responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos
personales y categorías de interesados, y las obligaciones y derechos del responsable.

En el Procedimiento de encargos de tratamiento se describen los pasos que se deben seguir con cada una
de las empresas, a la que las que se permita el acceso a sus datos personales para la prestación de
servicios.

Política corporativa sobre protección de datos personales Jefatura de Área de Cumplimiento Normativo
Febrero 2019 v.0.1. Rev. 1.2. Julio 2022 Pág. 4 de 6
5.6. Brechas de seguridad

En ADIF se garantizará la notificación de las brechas de seguridad a las Autoridades de control, en un plazo
inferior a 72 horas, y a los interesados cuando la brecha entrañe un alto riesgo para los derechos y
libertades de las personas físicas.
ADIF, como responsable del tratamiento, dispone de un Procedimiento de gestión de brechas de
seguridad a través del que se establece la metodología para responder con la mayor celeridad posible y
apropiada a las brechas de seguridad y realizar las notificaciones pertinentes.

5.7. Evaluación de Impacto de Protección de Datos

En ADIF se garantizará la realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) exigidas
por el RGPD cuando sea probable que el tratamiento pueda entrañar un alto riesgo para los derechos y
libertades de las personas.

ADIF ALTA VELOCIDAD, como responsable del tratamiento dispone de un Procedimiento de realización de
Evaluación de Impacto de Protección de Datos, en el que se establecen los requisitos y la metodología
para llevar a cabo la EIPD.

6. OBLIGACIONES DE LOS EMPLEADOS

Con el fin de asegurar el respeto a la normativa vigente en materia de protección de datos personales, la
entidad ADIF dispone de un Delegado de Protección de Datos que es el responsable de asesorar e informar
en materia de protección de datos a todo el personal de la entidad, así como de supervisar el cumplimiento
de lo dispuesto en el RGPD a nivel legal y técnico, entre otras funciones.

Los empleados deben cumplir con lo establecido en el RGPD y la LOPD, entre otras, se recomienda seguir
las siguientes pautas:

Se deberán tratar exclusivamente los datos de contacto y la función o puesto desempeñado de los
empresarios individuales y de los profesionales liberales, con la finalidad de realizar su localización
profesional.
Se deberán tratar exclusivamente los datos de contacto y la función o puesto desempeñado, de los
trabajadores de otras entidades, siempre que la finalidad del tratamiento sea el mantener
relaciones comerciales con la persona jurídica en la que el trabajador presta sus servicios.
Se garantizará que la información, que se almacene temporalmente en los puestos de trabajo, no
pueda ser visible por personas no autorizadas.
Cuando se abandone el puesto de trabajo, bien temporalmente o bien al finalizar la jornada, se
deberá dejar en un estado que impida la visualización de los datos protegidos (ejemplo: bloqueo
del equipo y uso de llaves en los armarios).

Política corporativa sobre protección de datos personales Jefatura de Área de Cumplimiento Normativo
Febrero 2019 v.0.1. Rev. 1.2. Julio 2022 Pág. 5 de 6
 Se asegurará la confidencialidad de las contraseñas y, en caso de que las mismas sean conocidas
fortuita o fraudulentamente por personas no autorizadas, deberá comunicarlo y proceder a su
modificación.
Se evitará la recogida de currículos, puesto que los procesos de selección en ADIF se realizan
exclusivamente a través de concursos de oferta pública de empleo. En caso de que se reciban
currículos, se almacenarán de forma que se impida el acceso de terceros y se procederá, lo antes
posible, a la destrucción segura de la información.
Se prohíbe la captura y salida de cualquier tipo de información, soporte y/o documento que
contenga datos de carácter personal, incluidos los comprendidos y/o anejos a un correo
electrónico, fuera del control del responsable del tratamiento, sin encontrarse debidamente
autorizada por el responsable del tratamiento.

7. APLICACIÓN, ENTRADA EN VIGOR Y ACTUALIZACIÓN
La aplicación y cumplimiento de la presente Política de protección de datos será evaluado por el Delegado
de Protección de Datos, informando de los resultados al Presidente de ADIF.
La presente Política de protección de datos será de aplicación el día siguiente a su aprobación por el
Consejo de Administración de ADIF.
Los procedimientos que le son de aplicación estarán disponibles en el Sistema de Gestión de ADIF y el en
INICIA en el apartado de Cumplimiento Normativo-Protección de Datos
La revisión y actualización, en su caso, se realizará, con una periodicidad anual, con carácter ordinario; y
siempre que se produzcan variaciones sustanciales en sus objetivos o legislación aplicable, con carácter
extraordinario.

Política corporativa sobre protección de datos personales Jefatura de Área de Cumplimiento Normativo
Febrero 2019 v.0.1. Rev. 1.2. Julio 2022 Pág. 6 de 6