Política de protección de datos personales

Marco general

Oryx Power reconoce la importancia de la protección de los datos personales en su organización y de regular su tratamiento legítimo, controlado e informado, con el objeto de garantizar el derecho a la protección de los datos de carácter personal de los Titulares de los mismos.

Oryx Power reconoce la adecuada gestión de la seguridad de la información personal como una actividad fundamental para la prestación de sus servicios y reconocen la importancia de identificar y proteger los activos de información de la organización, evitando la destrucción, divulgación, modificación y utilización no autorizada de toda información personal relacionada con sus clientes, empleados, proveedores y demás Titulares de datos personales.

Objeto

El objeto de la presente Política es establecer unos principios, indicaciones y directrices unificados de protección de datos y seguridad de la información, basado en principios generales reconocidos en todo el mundo, proporcionando las bases para definir su control y gestión, de acuerdo con los requisitos y necesidades empresariales y con la legislación, la normativa y/o las buenas prácticas aplicables.

Ámbito de aplicación

El cumplimiento del presente documento es obligatorio para todos los empleados de Oryx Power independientemente del tipo de contrato que determine su relación laboral, de la posición que ocupen y del lugar donde desempeñen su trabajo. Será igualmente de obligatorio cumplimiento para personal externo y becarios.

Asimismo, se promoverá e incentivará entre los socios, proveedores, contratistas y empresas colaboradoras de Oryx Power el conocimiento de esta Política y la adopción de pautas de conducta consistentes con la misma.

Definiciones

Para los efectos de la presente Política se emplearán los siguientes términos y definiciones:

  1. Acceso a datos: La comunicación de datos personales entre el responsable y el encargado.

  2. Aviso de protección de datos: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del Titular, previo al tratamiento de sus datos personales.

  3. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.

  4. Cesión: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

  5. Consentimiento: Manifestación de la voluntad del Titular de los datos mediante la cual se efectúa el tratamiento de los mismos.

  6. Datos personales: toda información sobre una persona física identificada o identificable («el Titular»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

  7. Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

  8. Ley o LOPD: La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de los derechos digitales y su normativa de desarrollo.

  9. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.

  10. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

    1. Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;

    2. Proteger los equipos móviles, portátiles o de fácil sustracción, situados dentro o fuera de las instalaciones;

    3. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y

    4. Garantizar la eliminación de datos de forma segura.

  11. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:

    1. El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;

    2. El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

    3. Se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros, y

    4. Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.

  12. Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; a efectos del presente documento: Oryx Power.

  13. Soporte electrónico: Medio de almacenamiento al que se pueda acceder sólo mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los datos personales.

  14. Soporte físico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningún aparato que procese su contenido para examinar, modificar o almacenar los datos personales.

  15. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.

  16. Titular: La persona física a quien corresponden los datos personales.

  17. Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Compromisos de Oryx Power en materia de protección de Datos personales

La protección de los datos personales en posesión de Oryx Power es una herramienta fundamental para cada organización, en este sentido Oryx Power se compromete a cumplir con los principios en materia de protección de datos personales y velar porque el personal y los terceros autorizados realicen lo anterior con la finalidad de garantizar la protección de los datos de carácter personal de los Titulares de los mismos.


  1. Principio de Licitud: Oryx Power se compromete a que los Datos personales sean recabados y tratados de manera lícita conforme a las disposiciones establecidas en cumplimiento a lo dispuesto por la legislación aplicable.

  2. Consentimiento: Oryx Power se compromete a que los Datos personales serán tratados únicamente cuando se haya obtenido de manera previa el consentimiento de su titular para el Tratamiento de los mismos, salvo las excepciones previstas por la normatividad aplicable.

  3. Información: Oryx Power se compromete a cumplir el principio de información y para ello se obliga a implementar y poner a disposición los avisos de protección de datos que resulten necesarios para cada una de las finalidades para las cuales se tratan los Datos personales.

  4. Calidad: Oryx Power se compromete a aplicar, desarrollar y hacer cumplir los procedimientos y mecanismos necesarios para procurar que los Datos personales contenidos en sus bases de datos y/o sistemas de Tratamiento sean exactos, completos, pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.

  5. Finalidad: Oryx Power se compromete a limitar el Tratamiento de los Datos personales al cumplimiento de las finalidades previstas en la cláusula de protección de datos que corresponda, las cuales serán explícitas, legítimas y determinadas

  6. Lealtad: Oryx Power se compromete a tratar los Datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad para lo cual se obligan a no hacer uso de medios engañosos o fraudulentos para recabar y tratar Datos personales.

  7. Proporcionalidad: Oryx Power se compromete a velar porque el Tratamiento de Datos personales que se lleve a cabo sea únicamente el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en cada caso.

  8. Responsabilidad: Oryx Power se compromete a velar y responder por el Tratamiento de los Datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, con el objeto de poder rendir cuentas al titular sobre el Tratamiento de sus Datos personales.

  9. Derechos de los Titulares: Oryx Power se compromete a informar a los Titulares de los datos sobre cómo puede acceder a sus datos o corregirlos, así como sobre cómo pueden solicitar su supresión o limitación del Tratamiento en el momento de la recogida de los mismos o, a través de la información disponible en el sitio web corporativo.

  10. Confidencialidad: Oryx Power se compromete a cumplir con el deber de confidencialidad respecto de los Datos personales que se encuentren bajo su custodia, para lo cual se obligan a lo siguiente:

    • Oryx Power regulará expresamente la confidencialidad con cada uno de sus empleados y/o personal que tenga acceso a Datos personales

    • Oryx Power se obliga a garantizar que cada uno de sus empleados entienda, reconozca y acepte sus obligaciones con respecto a la confidencialidad de la información a la que tienen acceso y que se obligarán a lo siguiente:

      1. Todos los empleados de Oryx Power deberán mantener la confidencialidad de la información confiada a ellos y únicamente usarán esta información para las finalidades autorizadas.

      2. Todo el personal de Oryx Power estará obligado a garantizar la confidencialidad de la información, por lo que se prohíbe cualquier tipo de comunicación de la información personal a terceros no autorizados.

    • Oryx Power implementará los mecanismos correctivos necesarios en contra de su personal en caso de que exista alguna violación al deber de confidencialidad por parte de su personal interno y/o externo.

    • Oryx Power acepta que bajo ninguna circunstancia usarán inapropiadamente los Datos personales que les hayan sido comunicados.

  11. Seguridad: Oryx Power se compromete a proteger los Datos personales contra un acceso no autorizado, el Tratamiento o comunicación ilícita y su pérdida, modificación o destrucción. Esta obligación se extiende tanto al Tratamiento de los datos por vía electrónica como en forma impresa. Antes de la introducción de nuevos procedimientos de Tratamiento de datos, especialmente nuevos sistemas informáticos, se definirán e implementarán medidas técnicas y administrativas idóneas para la protección de los Datos personales.

  12. Oryx Power se compromete a adoptar las medidas de seguridad físicas, técnicas y administrativas necesarias para la protección de los Datos personales conforme a la normativa vigente.

  13. Comunicaciones de Datos personales Oryx Power se compromete a que toda comunicación de Datos personales (acceso a datos y/o cesión) se regulará a través de un instrumento jurídico idóneo que incluirá una cláusula de protección de Datos personales autorizada por Oryx Power y en la que se identificarán las obligaciones de las partes en materia de protección de Datos personales, en particular, se observará en cada caso lo siguiente:

    Las comunicaciones de Datos personales deberán de ser necesarias y requeridas en función de las finalidades del Tratamiento.