1. Identificación de la organización Responsable del tratamiento
De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la organización Responsable del tratamiento es quien determina los fines y los medios del tratamiento de datos personales (Ficheros).
| Nombre fiscal | CENTRO DE ESTUDIOS BIOSANITARIOS SL |
| NIF | B83154104 |
| Actividad | EDUCACIÓN |
| Dirección | C/ GOYA, 77 – 2º DCHA. ESC. 28001 MADRID (Madrid) |
| Teléfono | 917395254 |
| info@ceb.edu.es | |
| Marca comercial | CENTRO DE ESTUDIOS BIOSANITARIOS |
| Web | https://ceb.edu.es/ |
| E-mail Notificación AEPD | info@ceb.edu.es |
| E-mail ejercicio derechos | info@ceb.edu.es |
| Representante legal | MÓNICA LÓPEZ BARAHONA |
| Responsable seguridad (DSPO) | MÓNICA LÓPEZ BARAHONA |
| Encargado seguridad (DSPP) | EVA GALIÁN GUEVARA |
| Número empleados | 1 |
2. Identificación de los tratamientos de datos personales tratados por cuentapropia
Un fichero es un conjunto estructurado de datos personales accesibles con arreglo a criterios determinados y susceptibles de tratamiento para un fin específico.
| Fichero | Descripción |
| 1 EMPLEADOS | Gestión administrativa y laboral del personal empleado en la organización |
| 3 BECAS | Datos académicos de los alumnos que solicitan becas |
| 4 USUARIOS WEB | Personas que contactan a través de la página web |
| 6 ALUMNOS | Gestión de los datos de contacto, de facturación y evaluación de los alumnos |
| 7 PLATAFORMA E-LEARNING | Gestión de los cursos ofrecidos a través de la plataforma: vídeos, exámenes realizados por alumnos y evaluaciones correspondientes |
| 10 EX ALUMNOS | Información y documentación de los ex-alumnos del centro |
| 11 PROFESORES | Gestión administrativa de los profesores colaboradores con la identidad |
| 12 MARKETING – PUBLICIDAD | Gestión publicitaria y prospección comercial. Incluye datos obtenidos de fuentes legítimas de acceso público |
| 13 MASTER EN ONCOLOGÍA MOLECULAR (CT) | Todos los datos de carácter personal derivados de este tratamiento de datos |
| 14 CLIENTES Y PROVEEDORES | Gestión comercial con clientes y proveedores. Incluye datos de contacto de personas físicas que presten servicios a una persona jurídica, inclusive los profesionales individuales |
3. Registro de las actividades del tratamiento
De conformidad con el artículo 30 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la Organización deberá llevar y conservar actualizado un Registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en formato electrónico, que contenga:
- Nombre y datos de contacto del Responsable del tratamiento y, en su caso, del Corresponsable del tratamiento, del Representante del Responsable y del Delegado de protección de datos (DPO).
- Fines del tratamiento.
- Descripción de las categorías de interesados. Descripción de las categorías de datos.
- Categorías de Destinatarios.
- Transferencias de datos a terceros países, con la identificación de los mismos y documentación de garantías adecuadas.
- Cuando sea posible:
- Plazos previstos para la supresión de las diferentes categorías de datos.
- Descripción general de las medidas técnicas y organizativas de seguridad.
Los Responsables del tratamiento, o sus Representantes, deberán poner a disposición de la Autoridad de control este Registro de actividades, cuando esta lo solicite.
Este Registro se ha documentado para cada uno de los Ficheros descritos en el apartado 2 y se detallan a continuación. Al final del documento se detalla una descripción general de las medidas técnicas y organizativas implementadas por la Organización, desde el diseño y por defecto, en todas las fases del tratamiento.
EMPLEADOS
| Descripción | Gestión administrativa y laboral del personal empleado en la organización |
| Finalidades | Otras finalidades: Registro del control horario, Prevención de riesgos laborales, Gestión de nóminas, Recursos humanos |
| Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Empleados |
| Criterios de conservación | Conservados durante 4 años para el cumplimiento de ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Características personales, Académicos y profesionales, Detalles de empleo, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
BECAS
| Descripción | Datos académicos de los alumnos que solicitan becas |
| Finalidades | Otras finalidades: Concesión de becas |
| Legitimación | RGPD art. 6.1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Solicitantes, Beneficiarios |
| Criterios de conservación | Conservados durante 4 años para el cumplimiento de ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria |
| Transferencias internacionales | No existen |
USUARIOS WEB
| Descripción | Personas que contactan a través de la página web |
| Finalidades | Publicidad y prospección comercial |
| Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
| Categorías de interesados | Personas de contacto, Solicitantes |
| Criterios de conservación | Conservado 6 meses |
| Sistema de tratamiento | Automatizado (Digital) |
| Categorías de datos | |
| Datos identificativos | Nombre y apellidos, Dirección postal o electrónica, Teléfono, Otros datos identificativos: País |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Información comercial |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
ALUMNOS
| Descripción | Gestión de los datos de contacto, de facturación y evaluación de los alumnos |
| Finalidades | Educación y cultura |
| Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Estudiantes |
| Criterios de conservación | Conservados durante el tiempo establecido por ley |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | Organizaciones o personas directamente relacionadas con el responsable, Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
PLATAFORMA E-LEARNING
| Descripción | Gestión de los cursos ofrecidos a través de la plataforma: vídeos, exámenes realizados por alumnos y evaluaciones correspondientes |
| Finalidades | Educación y cultura |
| Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Empleados, Estudiantes, Otros colectivos de interesados: Profesores |
| Criterios de conservación | Conservados INDEFINIDAMENTE mientras sea necesario para mantener el fin del tratamiento |
| Sistema de tratamiento | Automatizado (Digital) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Otros datos identificativos: Material audiovisual con fin didáctico |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Académicos y profesionales |
| Categorías de destinatarios | |
| Cesiones | Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
EX ALUMNOS
| Descripción | Información y documentación de los ex-alumnos del centro |
| Finalidades | Otras finalidades: Información de las distintas actividades formativas que se ofrecen Gestionar la solicitud de los Créditos de Formación Continuada de la Consejería de Sanidad de la Comunidad de Madrid. |
| Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
| Categorías de interesados | Empleados, Otros colectivos de interesados: Ex alumnos |
| Criterios de conservación | Envío de información: Conservados INDEFINIDAMENTE mientras sea necesario para mantener el fin del tratamiento Documentación de los exalumnos y gestionar la solicitud de créditos: el tiempo necesario para cumplir con ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | Nombre y apellidos, Dirección postal o electrónica, Teléfono Para gestionar la solicitud de créditos: Nombre y apellidos, DNI, Dirección postal o electrónica, Teléfono, Profesión o especialidad médica, Año de finalización de la residencia, Año de cursada del Máster |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
PROFESORES
| Descripción | Gestión administrativa de los profesores colaboradores con la identidad |
| Finalidades | Otras finalidades: Gestión administrativa y contable de los colaboradores y gestión del material audiovisual formativo |
| Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Empleados, Otros colectivos de interesados: Profesores |
| Criterios de conservación | Conservados durante el tiempo necesario para cumplir con ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen, Firma manual, Otros datos identificativos: Material audiovisual formativo |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria, Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
MARKETING – PUBLICIDAD
| Descripción | Gestión publicitaria y prospección comercial. Incluye datos obtenidos de fuentes legítimas de acceso público |
| Finalidades | Publicidad y prospección comercial |
| Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos LSSI, art. 21.2 Por una relación contractual previa, siempre que los datos se hayan obtenido de forma lícita y se ofrezcan productos similares a los ya contratados por el cliente |
| Categorías de interesados | Clientes y usuarios, Personas de contacto, Otros colectivos de interesados: Alumnos, ex-alumnos |
| Criterios de conservación | Mientras exista un interés mutuo o el interesado no se oponga al tratamiento |
| Sistema de tratamiento | Automatizado (Digital) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Detalles de empleo |
| Categorías de destinatarios | |
| Cesiones | No existen |
| Transferencias internacionales | No existen |
CLIENTES Y PROVEEDORES
| Descripción | Gestión comercial con clientes y proveedores. Incluye datos de contacto de personas físicas que presten servicios a una persona jurídica, inclusive los profesionales individuales |
| Finalidades | Gestión contable, fiscal y administrativa |
| Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| Categorías de interesados | Clientes y usuarios, Proveedores |
| Criterios de conservación | Conservados 5 años para cumplir con ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Transacciones de bienes y servicios |
| Categorías de destinatarios | |
| Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria |
| Transferencias internacionales | No existen |
MÁSTER EN ONCOLOGÍA MOLECULAR
Corresponsable del tratamiento
UNIVERSIDAD REY JUAN CARLOS
Q2803011B
C/ TULIPÁN S/N
28933 MÓSTOLES (Madrid)
protecciondedatos@urjc.es
| Descripción | Todos los datos de carácter personal derivados de este tratamiento de datos |
| Finalidades | Gestión conjunta por ambas instituciones del Máster Universitario en Oncología Molecular : matrícula, asistencia, evaluación de conocimientos y prácticas, corrección y publicación de notas así como cualquier tratamiento que se derive de la gestión del curso. |
| Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado |
| Categorías de interesados | Estudiantes |
| Criterios de conservación | Conservados durante el tiempo necesario para cumplir con ciertas obligaciones legales |
| Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
| Categorías de datos | |
| Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
| Categorías de datos especiales o penales | No existen |
| Otro tipo de datos | Características personales, Académicos y profesionales, Detalles de empleo, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
| Categorías de destinatarios | |
| Cesiones | Organizaciones o personas directamente relacionadas con el responsable, Empresas pertenecientes al grupo empresarial, Organismos de la Seguridad Social, Administración tributaria, Administración pública con competencia en la materia |
| Transferencias internacionales | No existen |
MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD
Locales o delegaciones
| SEDE PRINCIPAL | ||
| Tipo de acceso al local | Entrada libre con control de acceso (personal de recepción, vigilantes, etc.). | Bajo |
| Sistema general de control de llaves | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas | Bajo |
| Otras medidas de seguridad | NO EXISTEN medidas de seguridad. | Bajo |
Departamentos
| OFICINA | ||
| Permiso: | Limitado a personal autorizado en todo el Departamento. | Bajo |
| Acceso: | Acceso al Departamento con mecanismo de seguridad (llave, vigilante, huella digital, etc.) | Sin riesgo |
| Control de llaves: | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas. | Bajo |
| Otras medidas de seguridad: | NO EXISTEN otras medidas de seguridad. | Bajo |
Confidencialidad de la información
| Información del tratamiento al interesado | ||
| ¿Se informa al interesado de los detalles del tratamiento? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
| ¿Se informa al interesado de los derechos que le asisten? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
| Transporte y transmisión de datos | ||
| Transporte de los soportes dentro de la empresa | Por personal autorizado por el Responsable del tratamiento con medidas de seguridad. | Bajo |
| Transporte de los soportes fuera de la empresa | Por personal autorizado por el Responsable del tratamiento con medidas de seguridad. | Bajo |
| Procedimientos con datos automatizados (digital) | ||
| Acceso durante el tratamiento digital (pantallas) | Se tratan impidiendo la visión de los datos a personas no autorizadas. | Bajo |
| Almacenamiento de los soportes digitales | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
| Destrucción de soportes digitales | Destructora de soportes digitales. | Bajo |
| Procedimientos con datos no automatizados (documentos) | ||
| Acceso durante el tratamiento manual (documentos) | Se tratan impidiendo el acceso a los datos a personas no autorizadas. | Bajo |
Almacenamiento de documentos | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
| Destrucción de documentos | Destructora de papel. | Bajo |
| Registro de accesos a categorías especiales de datos | ||
| ¿Se lleva un registro de accesos a categorías especiales de datos? | NO SE TRATAN categorías especiales de datos. | Sin riesgo |
Sistemas de información
| Acceso a equipos informáticos | ||
| Control de acceso a equipos informáticos | Usuario y contraseña personalizados. | Bajo |
| Control de acceso a ficheros con datos personales | Acceso a los ficheros y/o programa mediante contraseña. | Bajo |
| Otros tipos de acceso a equipos informáticos | Ninguno | Sin riesgo |
| Acceso a redes informáticas | ||
| Acceso directo a los sistemas de información (conexión de red) | Usuario y contraseña personalizados. | Bajo |
| Acceso inalámbrico a los sistemas de información (Wifi, Bluetooth, etc.) | Acceso restringido por clave de seguridad. | Bajo |
| Acceso remoto a los sistemas de información | Usuario y contraseña personalizados. | Bajo |
| Cifrado de las conexiones remotas | Sin riesgo | |
| Sistema de identificación y autenticación | ||
| Sistema de identificación (USUARIO) | Palabra identificativa y personalizada para cada usuario. | Bajo |
| Sistema de autenticación (CONTRASEÑA) | Contraseña personalizada para cada usuario. | Bajo |
| Cifrado de la contraseña | La contraseña está cifrada | Bajo |
| Combinación de caracteres | La contraseña se compone al menos de 8 caracteres, con algún número, mayúscula y minúscula | Bajo |
| Intentos reiterados de acceso | Se ha implementado un sistema que impide los intentos reiterados no autorizados | Bajo |
| Caducidad de la contraseña | La contraseña se cambia al menos una vez al año | Bajo |
Integridad de la información
| Copias de respaldo | ||
| Ubicación de las copias | Se guardan en Mobiliario y/o Departamento con medidas de seguridad (llave, etc.). | Bajo |
| Periodicidad de programación | Semanalmente, como mínimo. | Bajo |
| Periodicidad de comprobación de datos | Como máximo, 6 meses desde la creación. | Bajo |
| Método de comprobación de datos | Apertura manual de varios archivos. | Bajo |
| Copias de respaldo externas | ||
| Ubicación de las copias externas | Sin riesgo | |
| Periodicidad de programación de las copias externas | Sin riesgo | |
| Cifrado de los datos de las copias externas | Sin riesgo | |
| Disponibilidad de los datos | ||
| Disponibilidad de los servicios de información | EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos | Bajo |
| Restauración de los servicios de información | EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos | Bajo |
| Resiliencia de los servicios de información | EXISTEN medidas para anticiparse y adaptarse a cambios imprevistos en los servicios de información | Bajo |
| Procesos de verificación, evaluación y valoración de las medidas de seguridad | SE HAN ESTABLECIDO procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad | Bajo |
Tratamientos específicos
| Tratamientos específicos | ||
| Tratamiento de datos de niños menores de 14 años | NO SE REALIZAN tratamientos de datos de niños menores de 14 años | Sin riesgo |
| Tratamiento de datos de personas en situación de vulnerabilidad | NO SE REALIZAN tratamientos de datos de personas en situación de vulnerabilidad | Sin riesgo |
| Tratamiento de datos que puede invadir la intimidad de las personas | NO SE REALIZAN tratamientos que pueden invadir la intimidad de las personas | Sin riesgo |
| Vulneración de los derechos y libertades fundamentales | NO SE REALIZAN tratamientos que vulneren los derechos o libertades fundamentales | Sin riesgo |
Organización
| Organización | ||
| Política de información | EXISTE un protocolo documentado para informar y comunicar el tratamiento al interesado | Bajo |
| Derechos del interesado | EXISTE un protocolo documentado para gestionar y registrar los derechos del interesado | Bajo |
| Política de seguridad | EXISTE un protocolo documentado para garantizar la seguridad de los datos personales y su protección desde el DISEÑO Y POR DEFECTO | Bajo |
| Violaciones de la seguridad | EXISTE un protocolo documentado para gestionar y registrar las violaciones de la seguridad | Bajo |
| Formación en protección de datos | [Se facilita suficiente formación al personal autorizado para tratar datos] mediante la publicación de la política de seguridad | Bajo |
| Delegado de protección de datos (DPO) | [No precisa un DPO porque la actividad principal de la empresa] CONSISTE en tratar datos personales pero NO a GRAN ESCALA, ni regulados en el art. 34 de la LOPDGDD. | Bajo |
| Evaluación de impacto (DPIA) | [No precisa realizar una DPIA porque] el tratamiento no comporta un alto riesgo para los derechos y libertades de las personas físicas. | Bajo |
