Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Guía de la herramienta Internal Privacy Management

 

El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) básicamente regula cómo se deben tratar legalmente los datos personales (incluida la forma en que se recopilan, usan, protegen o se interactúa con ellos en general). Tiene como objetivo fortalecer la protección de datos para todas las personas cuyas información personal entre dentro de su ámbito de aplicación, devolviéndoles el control de sus datos personales.

Sin embargo, implementar las normas contenidas en la ley en la práctica puede ser todo un desafío técnico. Esto es especialmente cierto para la gestión de la privacidad interna. Los usuarios deben poder describir qué datos recopilan, para qué fines, las partes involucradas y algunos detalles adicionales de toda la empresa, incluidos los datos de los empleados.

Si necesitas más información general sobre el RGPD, consulta nuestra guía completa del RGPD.

Esta guía tiene como objetivo guiarte paso a paso a través de nuestra herramienta de gestión de la privacidad interna.

Ten en cuenta que, aunque el RGPD es una razón muy común para esforzarse más en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario/cliente en la UE.

 

Continúa leyendo o consulta nuestro tutorial completo (en inglés).

¿Qué significa el concepto de área?

Las áreas son perímetros dentro de los cuales las actividades de tratamiento de datos son homogéneas. Algunos ejemplos de áreas son tu sitio web, app móvil, tiendas físicas, empleados, contratación, instalaciones de fabricación, etc. Puedes proporcionar una descripción de cómo se tratan los datos para cada una de ellas, como probablemente ya estés haciendo con nuestro generador de políticas de privacidad o el generador de términos de servicio para cualquier sitio determinado. En resumen, las áreas son réplicas de la entidad “sitio” que están conectadas entre sí y que puedes crear a voluntad.

¿Cómo se definen los miembros/roles?

En tu cuenta, puedes añadir miembros, que puedes asociar con un rol específico (como responsable del tratamiento, encargado del tratamiento, etc.) o un área específica.

Puedes elegir el rol que tiene un miembro determinado de entre de las siguientes opciones:

  • Responsable del tratamiento: hace referencia a cualquier persona o entidad legal que determina los fines y medios del tratamiento de datos personales.
  • Miembro de la organización del responsable del tratamiento: consulta la lista de ejemplos a continuación
  • Encargado del tratamiento: hace referencia a cualquier persona o entidad legal que trata datos personales por cuenta del responsable del tratamiento.
  • Interesado (también llamado usuario): hace referencia a cualquier persona cuyos datos personales están siendo tratados por un responsable o encargado del tratamiento.

Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarlos en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización encargada del servicio en la nube sería el encargado del tratamiento.

Puedes considerarlo básicamente como una libreta de direcciones. Todos los titulares actuales también son miembros.

Importante: los valores predeterminados que introduces en la sección de miembros del área se aplican por defecto a cada servicio.

Los siguientes miembros están disponibles por defecto:

  • Empleados
  • Usuarios
  • Usuarios de la UE
  • Departamento de Marketing
  • Departamento de Recursos Humanos
  • Departamento Financiero
  • Departamento de Atención al Cliente
  • Departamento de Ventas
  • Departamento de I+D
  • Departamento de Desarrollo
  • Departamento de Producto
  • Departamento Jurídico
  • Departamento de Relaciones Públicas
  • Departamento de Inteligencia

¿Cómo puedo configurar servicios con los nuevos campos?

Tu política de privacidad debe adaptarse a las actividades de recopilación de datos de tu web o app. Para ello, tienes que añadirle servicios.

Los servicios generalmente se clasifican en dos categorías distintas:

  • Servicios relacionados con tus actividades de recopilación de datos (por ejemplo, formularios de contacto)
  • Servicios relacionados con las actividades de recopilación de datos de terceros (por ejemplo, Google Analytics)

Cuando estés decidiendo qué servicios añadir a tu política de privacidad, puede que te ayude hacerte las siguientes preguntas:

  • ¿Qué datos de los usuarios recopilo y cómo lo hago?
    (por ejemplo, formularios de newsletters, de contacto, sistemas de comentarios)
  • ¿Qué servicios de terceros uso en mi web/app? Probablemente, estos servicios también traten datos de los usuarios de alguna manera, por lo que debes incluirlos en tu política.

En la siguiente sección, repasaremos los nuevos campos que hemos añadido para facilitar tu gestión de privacidad interna (puedes encontrar estos campos en la ventana de personalización que aparece cuando añades un servicio). Esto se llevará a cabo paso a paso para poder ayudarte a elegir la mejor opción para tu caso personal.

Etiqueta y descripción

Estos 2 campos están ahí simplemente para facilitarte las cosas, para que puedas describir el servicio en cuestión. Un ejemplo de etiqueta podría ser “centro de datos DE” y la descripción correspondiente podría ser “centro de datos de Frankfurt”.

Región

Este campo tan solo se aplica a algunos servicios, y te permite especificar si estás guardando datos en la UE. Un buen ejemplo de este tipo de campo es “Servicios Web de Amazon” (abreviado normalmente como “AWS”, por sus siglas en inglés).

Datos personales personalizados

Este campo tan solo aparece en algunos servicios, y te permite especificar el tipo de datos personales recopilados a través del servicio en cuestión.

Bases legales para el tratamiento de datos

Según el RGPD, tan solo se pueden tratar datos personales si existe al menos una base legal para hacerlo.

Las bases legales son:

  • El usuario ha dado su consentimiento para uno o varios fines específicos.
  • El tratamiento de los datos es necesario para la ejecución de un contrato en el que el usuario participe o para tomar las medidas (solicitadas por el usuario) previas a la celebración del contrato.
  • El tratamiento de los datos es necesario para cumplir una obligación legal a la que está sujeto el responsable del tratamiento.
  • El tratamiento de los datos es necesario para proteger los intereses vitales del usuario o de otra persona.
  • El tratamiento de los datos es necesario para llevar a cabo una tarea de interés público o según la autoridad oficial otorgada al responsable del tratamiento.
  • El tratamiento de los datos es necesario para el interés legítimo del responsable del tratamiento o de un tercero, excepto cuando se vean anulados por los intereses, derechos y libertades del usuario, particularmente cuando este sea un menor.

En nuestra herramienta, puedes elegir entre las siguientes opciones:

  • Consentimiento: el consentimiento significa ofrecer a las personas opciones y control reales. El consentimiento genuino debería dar a los usuarios el control de sus datos, generar confianza y compromiso y mejorar tu reputación. Esto se refiere a todas las herramientas de seguimiento que están basadas en cookies, para las que obtienes el consentimiento a través del banner de cookies.
  • Contrato: todo lo que necesitas hacer para proporcionar el servicio (alojamiento, etc.). Puedes confiar en esta base legal si necesitas tratar los datos personales de alguien:
    • para cumplir con tus obligaciones contractuales con ellos; o
    • porque te han pedido que hagas algo antes de celebrar un contrato (por ejemplo, proporcionar un presupuesto).
  • Obligación legal: puedes confiar en esta base legal si necesitas tratar los datos personales para cumplir con una ley común o una obligación estatutaria. Esto se refiere a una factura, por ejemplo.
  • Interés vital: es probable que puedas confiar en los llamados intereses vitales como tu base legal si necesitas tratar los datos personales para proteger la vida de alguien. Este tratamiento tiene que ser necesario. Si puedes proteger los intereses vitales de la persona de una forma menos intrusiva, esta base legal no será aplicable en tu caso.
  • Tarea pública: es más relevante para las autoridades públicas, pero puede aplicarse a cualquier organización que ejerza autoridad oficial o lleve a cabo tareas de interés público general.
  • Interés legítimo: los intereses legítimos son sin duda la base legal más flexible para el tratamiento de datos, pero no puedes asumir que siempre será la más apropiada para tu caso en concreto. Es probable que sea la base legal más apropiada cuando utilices los datos personales de los usuarios de la manera que ellos razonablemente esperarían y que tenga un impacto mínimo en la privacidad, o cuando exista una justificación convincente para el tratamiento.
  • Datos de categoría especial: los datos de categoría especial son datos personales que, según el RGPD, son más sensibles y, por lo tanto, necesitan una mayor protección. Incluyen, por ejemplo, información sobre la raza, religión o salud de una persona determinada.
  • Datos de delitos penales: para tratar datos personales sobre condenas o delitos penales, debes tener una base legal en virtud del artículo 6 y una autoridad legal o autoridad oficial para el tratamiento en virtud del artículo 10.

Bases legales para transferencias de datos fuera de la UE

Esto tan solo se aplica cuando transfieres datos personales fuera de la UE, así que, por favor, elige en consecuencia.

Puedes elegir entre las siguientes opciones:

  • Sin transferencia de datos: se explica por sí misma.
  • Decisiones de adecuación: una decisión tomada por la Comisión Europea en base a la Directiva 95/46/EC, que establece que un país que no pertenece a la UE garantiza un nivel adecuado de protección de los datos personales en virtud de su ley doméstica o de los acuerdos internacionales en los que haya participado.
  • Normas corporativas vinculantes: las normas corporativas vinculantes (BCR, por sus siglas en inglés) han sido diseñadas para permitir a las empresas multinacionales transferir datos personales desde el Espacio Económico Europeo (EEE) a sus afiliados ubicados fuera del EEE, en conformidad con el 8º principio de protección de datos y el artículo 25 de la Directiva 95/46/EC. Este procedimiento ha sido diseñado para evitar que tengas que dirigirte a cada autoridad de protección de datos por separado. Puedes encontrar más información en el artículo 47.
  • Garantías adecuadas: En ausencia de una decisión de conformidad con el artículo 45(3), un responsable o encargado del tratamiento podrá transferir datos personales a un tercer país u organización internacional solo si el responsable o encargado del tratamiento ha proporcionado las garantías adecuadas, y con la condición de que los derechos de los interesados y los recursos legales efectivos de los que disponen estén disponibles. Puedes encontrar más información en el artículo 46.
  • Consentimiento: el consentimiento significa ofrecer a las personas opciones y control reales. El consentimiento genuino debería dar a los usuarios el control de sus datos, generar confianza y compromiso y mejorar tu reputación. Esto se refiere a todas las herramientas de seguimiento que están basadas en cookies, para las que obtienes el consentimiento a través del banner de cookies.
  • Cláusulas contractuales tipo adoptadas por la Comisión Europea: la Comisión Europea puede decidir que las cláusulas contractuales tipo ofrecen garantías adecuadas sobre protección de datos para que los datos se transfieran internacionalmente. Por el momento, ha emitido dos conjuntos de cláusulas contractuales tipo para transferencias de datos de responsables del tratamiento de datos en la UE a responsables del tratamiento ubicados fuera de la UE o del Espacio Económico Europeo (EEE). Estas son la decisión 2001/497/CE y la decisión 2004/915/CE.
  • Interés público: es más relevante para las autoridades públicas, pero puede aplicarse a cualquier organización que ejerza autoridad oficial o lleve a cabo tareas de interés público general.
  • Establecimiento, ejercicio o defensa de reclamaciones legales.
  • Interés vital: es probable que puedas confiar en los llamados intereses vitales como tu base legal si necesitas tratar los datos personales para proteger la vida de alguien. Este tratamiento tiene que ser necesario. Si puedes proteger los intereses vitales de la persona de una forma menos intrusiva, esta base legal no será aplicable en tu caso.

Sujetos relacionados con el tratamiento de datos personales

Responsable del tratamiento
Hace referencia a cualquier persona o entidad legal que determina los fines y medios del tratamiento de datos personales.

Encargados del tratamiento
Hace referencia a cualquier persona o entidad legal que trata datos personales por cuenta del responsable del tratamiento.

Miembros de la organización del responsable del tratamiento
Un ejemplo común son los empleados de la empresa/organización en cuestión.

Interesados
Pueden ser, por ejemplo, tanto los usuarios del sitio web o app en cuestión, como los visitantes o clientes de una tienda física.

Derechos disponibles

En situaciones normales, los asuntos que utilizan el “consentimiento” como base legal para el tratamiento, deben tener todos los derechos seleccionados. Nuestra solución de ofrece las siguientes opciones:

  • Información: los individuos tienen derecho a ser informados sobre la recopilación y el uso de sus datos personales. Este es un requisito clave de transparencia según el RGPD.
  • Acceso: los individuos tienen derecho a acceder a sus datos personales e información suplementaria. El derecho de acceso permite a las personas conocer y verificar la licitud del tratamiento.
  • Rectificación: el RGPD incluye un derecho que permite a los interesados que se rectifiquen los datos personales inexactos o que se completen si están incompletos. Un individuo puede solicitar que se rectifiquen sus datos tanto verbalmente como por escrito.
  • Supresión: el RGPD introduce el derecho de las personas a que se borren sus datos personales (también llamado “derecho al olvido”). Los individuos pueden solicitar que se borren sus datos tanto verbalmente como por escrito.
  • Limitar el tratamiento: los individuos tienen derecho a solicitar la restricción o supresión de sus datos personales. Sin embargo, este no es un derecho absoluto y solo se aplica en determinadas circunstancias. Puedes encontrar más información aquí.
  • Portabilidad de los datos: el derecho a la portabilidad de los datos permite a los individuos obtener y reutilizar sus datos personales para sus propios fines en distintos servicios. Les permite mover, copiar o transferir sus datos personales fácilmente desde un entorno de TI a otro de forma segura, sin afectar su usabilidad.
  • Oposición: los individuos tienen derecho a oponerse a:
    • el tratamiento basado en intereses legítimos o en la ejecución de una tarea de interés público/ejercicio de autoridad oficial (incluyendo la elaboración de perfiles);
    • el marketing directo (incluyendo la elaboración de perfiles); y
    • el tratamiento con fines de investigación científica/histórica y estadísticos.

Política de conservación de datos

Este campo se refiere a cuánto tiempo se almacenan los datos. La opción por defecto es “conservar los datos durante el tiempo necesario para cumplir con el propósito” y debería aplicarse a la mayoría de los casos. De lo contrario, puedes elegir entre un período de 1 a 5 años.

Medidas de seguridad

Algunos ejemplos comunes son el método de cifrado utilizado o las evaluaciones de vulnerabilidad/pruebas de penetración, lo que significa que debes probar tus sistemas técnicos periódicamente para evaluar la seguridad y la resistencia de los mismos.

Otra medida importante es la denominada “copia de seguridad y almacenamiento de medios de copia de seguridad”, lo que significa que es recomendable mantener los medios de copia de seguridad en un lugar accesible solo para el personal responsable. La seguridad del sitio web debería verificarse, como mínimo, una vez al año.

También es recomendable instalar y mantener un firewall. Es recomendable revisar las configuraciones actuales, gestionar los permisos para los usuarios del sistema, comprobar que el sistema esté actualizado y, por último, proceder con la instalación en dispositivos portátiles. Sin embargo, tener un firewall activo no es obviamente nada nuevo en relación con el RGPD, y debe considerarse como una medida de seguridad mínima ya prevista por los estándares actuales.

En nuestra herramienta, podrás elegir una de las siguientes opciones:

  • Cifrado: el cifrado es un proceso ampliamente utilizado a través del cual los datos se convierten en una versión codificada e ininteligible, utilizando algoritmos de cifrado y una clave de cifrado, y mediante el cual una clave o código de descifrado permite a otros decodificarlos nuevamente.
  • Anonimización: el considerando 26 del RGPD define los datos anónimos como “datos anonimizados de tal manera que el interesado no sea o deje de ser identificable”.
  • Seudonimización: la seudonimización es la separación de los datos de los identificadores directos, de modo que no se pueden vincular a una identidad sin tener acceso a información adicional que se mantiene por separado. Por lo tanto, puede reducir los riesgos relacionados con el tratamiento de los datos, pero conservando la utilidad de los propios datos.
  • Auditoría: las auditorías periódicas de datos, junto con las revisiones y los ejercicios de gestión de datos, son requisitos permanentes para cumplir con el RGPD.
  • Limitación de acceso: se refiere al acceso limitado a cualquier dato de identificación personal de cualquier individuo que se recopile o almacene en la Unión Europea.

¿Qué significa el botón “Añadir alternativas”?

Para describir detalladamente el tratamiento de los datos según lo exige el RGPD, debes ser muy concreto a la hora de describir tus prácticas de recopilación de datos. Una situación muy común es la de un sitio web que tiene varios formularios de contacto y donde cada formulario se dirige a personas diferentes o para el cual los datos se comparten con diferentes partes. Otro ejemplo es tener dos newsletters distintas para grupos de usuarios o clientes diferentes.

Nuestra herramienta de gestión interna de la privacidad te permite, por lo tanto, añadir distintas versiones del mismo servicio.

Ejemplos prácticos

Veamos ahora una serie de ejemplos concretos para hacer que la información anterior sea algo más práctica, incluyendo nuestras “opciones alternativas”:

Ejemplo S.A. añade un área del sitio web y configura la política de privacidad, política de cookies, Cookie Solution y los términos de servicio.

Para la política de privacidad, se hace lo siguiente:

miembros: aquí establecemos los miembros globales para cada rol que es válido para toda el área. También se pueden especificar los miembros por servicio.
responsable del tratamiento: Ejemplo S.A (el titular)
miembros de la organización del responsable del tratamiento: empleados
encargados del tratamiento:
interesados: usuarios del sitio web

nombre: Ejemplo S.A.

alternate_default

etiqueta: centro de datos DE
descripción: centro de datos de Frankfurt
región: UE
base legal para el tratamiento: contrato
quiénes tratan los datos personales: titular, empleados (aquellos que se han establecido a nivel de sitio web)
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: ninguno (ya que nos sería imposible proporcionar el servicio si los usuarios se oponen al tratamiento de Ejemplo S.A.)
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

alternate_1

etiqueta: centro de datos NL
descripción: centro de datos de Ámsterdam
región: UE
base legal para el tratamiento: contrato
quiénes tratan los datos personales: titular, empleados (aquellos que se han establecido a nivel de sitio web)
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: ninguno (ya que nos sería imposible proporcionar el servicio si los usuarios se oponen al tratamiento de Ejemplo S.A.)
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

(si no utilizas Google Analytics en tu web o app, puedes insertar otra herramienta estadística aquí)

nombre: Google Analytics

alternate_default

etiqueta: Google Analytics
descripción: herramienta de seguimiento de Google Analytics
base legal para el tratamiento: consentimiento
quiénes tratan datos personales: titular, empleados (de la empresa en cuestión)
interesados: usuarios del sitio web
base legal para la transferencia de datos: consentimiento
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)

nombre: lista de correo y newsletter

alternate_default

etiqueta: newsletter principal (recuerda que puedes tener más de una newsletter o lista de correo)
descripción: lista de correo principal de la newsletter
datos personales personalizados: correo electrónico
base legal para el tratamiento: consentimiento
quiénes tratan datos personales: titular, empleados (de la empresa en cuestión)
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)

alternate_1

etiqueta: drip principal (se refiere a campañas de drip y no a la newsletter estándar)
descripción: campañas de drip
datos personales personalizados: correo electrónico
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

alternate_2

etiqueta: newsletter de producto secundaria
descripción: “”
datos personales personalizados: correo electrónico
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

alternate_3

etiqueta: drip de producto secundario
descripción: “”
datos personales personalizados: correo electrónico
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

alternate_4

etiqueta: newsletter de afiliados
descripción: newsletter para afiliados
datos personales personalizados: correo electrónico
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados, agencia x (que gestiona las campañas de afiliados)
interesados: usuarios del sitio web
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

nombre: Referral Candy

alternate_default

etiqueta: cuenta principal de Referral Candy
descripción: “”
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados, agencia x (que gestiona las campañas de afiliados)
interesados: usuarios del sitio web
base legal para la transferencia de datos: consentimiento
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

alternate_1

etiqueta: cuenta de Referral Candy para producto secundario
descripción: “”
base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados, agencia x (que gestiona las campañas de afiliados)
interesados: usuarios del sitio web
base legal para la transferencia de datos: consentimiento
derechos disponibles: información, acceso, rectificación, supresión, limitar el tratamiento, portabilidad de los datos, oposición
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

El usuario añade un área personalizada y la llama “empleados”, para describir los datos personales de sus empleados que trata y sus propósitos.

miembros:
responsable del tratamiento: Ejemplo S.A (el titular)
miembros de la organización del responsable del tratamiento: departamento de recursos humanos
encargados del tratamiento: Sr X, Sr Y
interesados: empleados, consultores

nombre: elaboración de nóminas

alternate_default

base legal para el tratamiento: obligación legal
quiénes tratan los datos personales: titular, empleados, departamento de recursos humanos, Sr X, Sr Y
interesados: empleados, consultores
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: ninguno
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

nombre: “Timely” (software de seguimiento del tiempo de los empleados)

alternate_default

base legal para el tratamiento: contrato
quiénes tratan los datos personales: titular, empleados, departamento de recursos humanos, Sr X, Sr Y
interesados: empleados, consultores
base legal para la transferencia de datos: consentimiento
derechos disponibles: ninguno
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar

El usuario añade un área personalizada y la llama “entrevistas de trabajo”, para describir los datos personales de los candidatos que utiliza y sus propósitos.

miembros:
responsable del tratamiento: Ejemplo S.A (el titular)
miembros de la organización del responsable del tratamiento: empleados, departamento de recursos humanos
encargados del tratamiento:
interesados: candidatos al puesto de trabajo

nombre: evaluación de candidatos

alternate_default

base legal para el tratamiento: consentimiento
quiénes tratan los datos personales: titular, empleados, departamento de recursos humanos
interesados: candidatos
base legal para la transferencia de datos: sin transferencia de datos
derechos disponibles: ninguno
política de conservación de datos: conservar los datos durante el tiempo necesario para cumplir con el propósito (opción por defecto)
medidas de seguridad: por determinar