1. Identificación de la organización Responsable del tratamiento
De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la organización Responsable del tratamiento es quien determina los fines y los medios del tratamiento de datos personales (Ficheros).
Nombre fiscal | CENTRO DE ESTUDIOS BIOSANITARIOS SL |
NIF | B83154104 |
Actividad | EDUCACIÓN |
Dirección | C/ GOYA, 77 – 2º DCHA. ESC. 28001 MADRID (Madrid) |
Teléfono | 917395254 |
info@ceb.edu.es | |
Marca comercial | CENTRO DE ESTUDIOS BIOSANITARIOS |
Web | https://ceb.edu.es/ |
E-mail Notificación AEPD | info@ceb.edu.es |
E-mail ejercicio derechos | info@ceb.edu.es |
Representante legal | MÓNICA LÓPEZ BARAHONA |
Responsable seguridad (DSPO) | MÓNICA LÓPEZ BARAHONA |
Encargado seguridad (DSPP) | EVA GALIÁN GUEVARA |
Número empleados | 1 |
2. Identificación de los tratamientos de datos personales tratados por cuentapropia
Un fichero es un conjunto estructurado de datos personales accesibles con arreglo a criterios determinados y susceptibles de tratamiento para un fin específico.
Fichero | Descripción |
1 EMPLEADOS | Gestión administrativa y laboral del personal empleado en la organización |
3 BECAS | Datos académicos de los alumnos que solicitan becas |
4 USUARIOS WEB | Personas que contactan a través de la página web |
6 ALUMNOS | Gestión de los datos de contacto, de facturación y evaluación de los alumnos |
7 PLATAFORMA E-LEARNING | Gestión de los cursos ofrecidos a través de la plataforma: vídeos, exámenes realizados por alumnos y evaluaciones correspondientes |
10 EX ALUMNOS | Información y documentación de los ex-alumnos del centro |
11 PROFESORES | Gestión administrativa de los profesores colaboradores con la identidad |
12 MARKETING – PUBLICIDAD | Gestión publicitaria y prospección comercial. Incluye datos obtenidos de fuentes legítimas de acceso público |
13 MASTER EN ONCOLOGÍA MOLECULAR (CT) | Todos los datos de carácter personal derivados de este tratamiento de datos |
14 CLIENTES Y PROVEEDORES | Gestión comercial con clientes y proveedores. Incluye datos de contacto de personas físicas que presten servicios a una persona jurídica, inclusive los profesionales individuales |
3. Registro de las actividades del tratamiento
De conformidad con el artículo 30 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la Organización deberá llevar y conservar actualizado un Registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en formato electrónico, que contenga:
- Nombre y datos de contacto del Responsable del tratamiento y, en su caso, del Corresponsable del tratamiento, del Representante del Responsable y del Delegado de protección de datos (DPO).
- Fines del tratamiento.
- Descripción de las categorías de interesados. Descripción de las categorías de datos.
- Categorías de Destinatarios.
- Transferencias de datos a terceros países, con la identificación de los mismos y documentación de garantías adecuadas.
- Cuando sea posible:
- Plazos previstos para la supresión de las diferentes categorías de datos.
- Descripción general de las medidas técnicas y organizativas de seguridad.
Los Responsables del tratamiento, o sus Representantes, deberán poner a disposición de la Autoridad de control este Registro de actividades, cuando esta lo solicite.
Este Registro se ha documentado para cada uno de los Ficheros descritos en el apartado 2 y se detallan a continuación. Al final del documento se detalla una descripción general de las medidas técnicas y organizativas implementadas por la Organización, desde el diseño y por defecto, en todas las fases del tratamiento.
EMPLEADOS
Descripción | Gestión administrativa y laboral del personal empleado en la organización |
Finalidades | Otras finalidades: Registro del control horario, Prevención de riesgos laborales, Gestión de nóminas, Recursos humanos |
Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Empleados |
Criterios de conservación | Conservados durante 4 años para el cumplimiento de ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Características personales, Académicos y profesionales, Detalles de empleo, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
Categorías de destinatarios | |
Cesiones | No existen |
Transferencias internacionales | No existen |
BECAS
Descripción | Datos académicos de los alumnos que solicitan becas |
Finalidades | Otras finalidades: Concesión de becas |
Legitimación | RGPD art. 6.1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Solicitantes, Beneficiarios |
Criterios de conservación | Conservados durante 4 años para el cumplimiento de ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
Categorías de destinatarios | |
Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria |
Transferencias internacionales | No existen |
USUARIOS WEB
Descripción | Personas que contactan a través de la página web |
Finalidades | Publicidad y prospección comercial |
Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
Categorías de interesados | Personas de contacto, Solicitantes |
Criterios de conservación | Conservado 6 meses |
Sistema de tratamiento | Automatizado (Digital) |
Categorías de datos | |
Datos identificativos | Nombre y apellidos, Dirección postal o electrónica, Teléfono, Otros datos identificativos: País |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Información comercial |
Categorías de destinatarios | |
Cesiones | No existen |
Transferencias internacionales | No existen |
ALUMNOS
Descripción | Gestión de los datos de contacto, de facturación y evaluación de los alumnos |
Finalidades | Educación y cultura |
Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Estudiantes |
Criterios de conservación | Conservados durante el tiempo establecido por ley |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
Categorías de destinatarios | |
Cesiones | Organizaciones o personas directamente relacionadas con el responsable, Administración pública con competencia en la materia |
Transferencias internacionales | No existen |
PLATAFORMA E-LEARNING
Descripción | Gestión de los cursos ofrecidos a través de la plataforma: vídeos, exámenes realizados por alumnos y evaluaciones correspondientes |
Finalidades | Educación y cultura |
Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Empleados, Estudiantes, Otros colectivos de interesados: Profesores |
Criterios de conservación | Conservados INDEFINIDAMENTE mientras sea necesario para mantener el fin del tratamiento |
Sistema de tratamiento | Automatizado (Digital) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Otros datos identificativos: Material audiovisual con fin didáctico |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Académicos y profesionales |
Categorías de destinatarios | |
Cesiones | Administración pública con competencia en la materia |
Transferencias internacionales | No existen |
EX ALUMNOS
Descripción | Información y documentación de los ex-alumnos del centro |
Finalidades | Otras finalidades: Información de las distintas actividades formativas que se ofrecen Gestionar la solicitud de los Créditos de Formación Continuada de la Consejería de Sanidad de la Comunidad de Madrid. |
Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
Categorías de interesados | Empleados, Otros colectivos de interesados: Ex alumnos |
Criterios de conservación | Envío de información: Conservados INDEFINIDAMENTE mientras sea necesario para mantener el fin del tratamiento Documentación de los exalumnos y gestionar la solicitud de créditos: el tiempo necesario para cumplir con ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | Nombre y apellidos, Dirección postal o electrónica, Teléfono Para gestionar la solicitud de créditos: Nombre y apellidos, DNI, Dirección postal o electrónica, Teléfono, Profesión o especialidad médica, Año de finalización de la residencia, Año de cursada del Máster |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
Categorías de destinatarios | |
Cesiones | No existen |
Transferencias internacionales | No existen |
PROFESORES
Descripción | Gestión administrativa de los profesores colaboradores con la identidad |
Finalidades | Otras finalidades: Gestión administrativa y contable de los colaboradores y gestión del material audiovisual formativo |
Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Empleados, Otros colectivos de interesados: Profesores |
Criterios de conservación | Conservados durante el tiempo necesario para cumplir con ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Imagen, Firma manual, Otros datos identificativos: Material audiovisual formativo |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Académicos y profesionales, Detalles de empleo |
Categorías de destinatarios | |
Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria, Administración pública con competencia en la materia |
Transferencias internacionales | No existen |
MARKETING – PUBLICIDAD
Descripción | Gestión publicitaria y prospección comercial. Incluye datos obtenidos de fuentes legítimas de acceso público |
Finalidades | Publicidad y prospección comercial |
Legitimación | RGPD art. 6. 1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos LSSI, art. 21.2 Por una relación contractual previa, siempre que los datos se hayan obtenido de forma lícita y se ofrezcan productos similares a los ya contratados por el cliente |
Categorías de interesados | Clientes y usuarios, Personas de contacto, Otros colectivos de interesados: Alumnos, ex-alumnos |
Criterios de conservación | Mientras exista un interés mutuo o el interesado no se oponga al tratamiento |
Sistema de tratamiento | Automatizado (Digital) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Detalles de empleo |
Categorías de destinatarios | |
Cesiones | No existen |
Transferencias internacionales | No existen |
CLIENTES Y PROVEEDORES
Descripción | Gestión comercial con clientes y proveedores. Incluye datos de contacto de personas físicas que presten servicios a una persona jurídica, inclusive los profesionales individuales |
Finalidades | Gestión contable, fiscal y administrativa |
Legitimación | RGPD art. 6. 1. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
Categorías de interesados | Clientes y usuarios, Proveedores |
Criterios de conservación | Conservados 5 años para cumplir con ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Transacciones de bienes y servicios |
Categorías de destinatarios | |
Cesiones | Bancos, cajas de ahorro y cajas rurales, Administración tributaria |
Transferencias internacionales | No existen |
MÁSTER EN ONCOLOGÍA MOLECULAR
Corresponsable del tratamiento
UNIVERSIDAD REY JUAN CARLOS
Q2803011B
C/ TULIPÁN S/N
28933 MÓSTOLES (Madrid)
protecciondedatos@urjc.es
Descripción | Todos los datos de carácter personal derivados de este tratamiento de datos |
Finalidades | Gestión conjunta por ambas instituciones del Máster Universitario en Oncología Molecular : matrícula, asistencia, evaluación de conocimientos y prácticas, corrección y publicación de notas así como cualquier tratamiento que se derive de la gestión del curso. |
Legitimación | Para la ejecución de un CONTRATO o precontrato con el interesado |
Categorías de interesados | Estudiantes |
Criterios de conservación | Conservados durante el tiempo necesario para cumplir con ciertas obligaciones legales |
Sistema de tratamiento | Parcialmente Automatizado (Mixto) |
Categorías de datos | |
Datos identificativos | DNI o NIF, Nombre y apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad |
Categorías de datos especiales o penales | No existen |
Otro tipo de datos | Características personales, Académicos y profesionales, Detalles de empleo, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
Categorías de destinatarios | |
Cesiones | Organizaciones o personas directamente relacionadas con el responsable, Empresas pertenecientes al grupo empresarial, Organismos de la Seguridad Social, Administración tributaria, Administración pública con competencia en la materia |
Transferencias internacionales | No existen |
MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD
Locales o delegaciones
SEDE PRINCIPAL | ||
Tipo de acceso al local | Entrada libre con control de acceso (personal de recepción, vigilantes, etc.). | Bajo |
Sistema general de control de llaves | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas | Bajo |
Otras medidas de seguridad | NO EXISTEN medidas de seguridad. | Bajo |
Departamentos
OFICINA | ||
Permiso: | Limitado a personal autorizado en todo el Departamento. | Bajo |
Acceso: | Acceso al Departamento con mecanismo de seguridad (llave, vigilante, huella digital, etc.) | Sin riesgo |
Control de llaves: | Las llaves se guardan en un lugar seguro y con acceso autorizado a las mismas. | Bajo |
Otras medidas de seguridad: | NO EXISTEN otras medidas de seguridad. | Bajo |
Confidencialidad de la información
Información del tratamiento al interesado | ||
¿Se informa al interesado de los detalles del tratamiento? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
¿Se informa al interesado de los derechos que le asisten? | Sí, con cláusulas personalizadas de protección de datos. | Bajo |
Transporte y transmisión de datos | ||
Transporte de los soportes dentro de la empresa | Por personal autorizado por el Responsable del tratamiento con medidas de seguridad. | Bajo |
Transporte de los soportes fuera de la empresa | Por personal autorizado por el Responsable del tratamiento con medidas de seguridad. | Bajo |
Procedimientos con datos automatizados (digital) | ||
Acceso durante el tratamiento digital (pantallas) | Se tratan impidiendo la visión de los datos a personas no autorizadas. | Bajo |
Almacenamiento de los soportes digitales | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
Destrucción de soportes digitales | Destructora de soportes digitales. | Bajo |
Procedimientos con datos no automatizados (documentos) | ||
Acceso durante el tratamiento manual (documentos) | Se tratan impidiendo el acceso a los datos a personas no autorizadas. | Bajo |
Almacenamiento de documentos | Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. | Bajo |
Destrucción de documentos | Destructora de papel. | Bajo |
Registro de accesos a categorías especiales de datos | ||
¿Se lleva un registro de accesos a categorías especiales de datos? | NO SE TRATAN categorías especiales de datos. | Sin riesgo |
Sistemas de información
Acceso a equipos informáticos | ||
Control de acceso a equipos informáticos | Usuario y contraseña personalizados. | Bajo |
Control de acceso a ficheros con datos personales | Acceso a los ficheros y/o programa mediante contraseña. | Bajo |
Otros tipos de acceso a equipos informáticos | Ninguno | Sin riesgo |
Acceso a redes informáticas | ||
Acceso directo a los sistemas de información (conexión de red) | Usuario y contraseña personalizados. | Bajo |
Acceso inalámbrico a los sistemas de información (Wifi, Bluetooth, etc.) | Acceso restringido por clave de seguridad. | Bajo |
Acceso remoto a los sistemas de información | Usuario y contraseña personalizados. | Bajo |
Cifrado de las conexiones remotas | Sin riesgo | |
Sistema de identificación y autenticación | ||
Sistema de identificación (USUARIO) | Palabra identificativa y personalizada para cada usuario. | Bajo |
Sistema de autenticación (CONTRASEÑA) | Contraseña personalizada para cada usuario. | Bajo |
Cifrado de la contraseña | La contraseña está cifrada | Bajo |
Combinación de caracteres | La contraseña se compone al menos de 8 caracteres, con algún número, mayúscula y minúscula | Bajo |
Intentos reiterados de acceso | Se ha implementado un sistema que impide los intentos reiterados no autorizados | Bajo |
Caducidad de la contraseña | La contraseña se cambia al menos una vez al año | Bajo |
Integridad de la información
Copias de respaldo | ||
Ubicación de las copias | Se guardan en Mobiliario y/o Departamento con medidas de seguridad (llave, etc.). | Bajo |
Periodicidad de programación | Semanalmente, como mínimo. | Bajo |
Periodicidad de comprobación de datos | Como máximo, 6 meses desde la creación. | Bajo |
Método de comprobación de datos | Apertura manual de varios archivos. | Bajo |
Copias de respaldo externas | ||
Ubicación de las copias externas | Sin riesgo | |
Periodicidad de programación de las copias externas | Sin riesgo | |
Cifrado de los datos de las copias externas | Sin riesgo | |
Disponibilidad de los datos | ||
Disponibilidad de los servicios de información | EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos | Bajo |
Restauración de los servicios de información | EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos | Bajo |
Resiliencia de los servicios de información | EXISTEN medidas para anticiparse y adaptarse a cambios imprevistos en los servicios de información | Bajo |
Procesos de verificación, evaluación y valoración de las medidas de seguridad | SE HAN ESTABLECIDO procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad | Bajo |
Tratamientos específicos
Tratamientos específicos | ||
Tratamiento de datos de niños menores de 14 años | NO SE REALIZAN tratamientos de datos de niños menores de 14 años | Sin riesgo |
Tratamiento de datos de personas en situación de vulnerabilidad | NO SE REALIZAN tratamientos de datos de personas en situación de vulnerabilidad | Sin riesgo |
Tratamiento de datos que puede invadir la intimidad de las personas | NO SE REALIZAN tratamientos que pueden invadir la intimidad de las personas | Sin riesgo |
Vulneración de los derechos y libertades fundamentales | NO SE REALIZAN tratamientos que vulneren los derechos o libertades fundamentales | Sin riesgo |
Organización
Organización | ||
Política de información | EXISTE un protocolo documentado para informar y comunicar el tratamiento al interesado | Bajo |
Derechos del interesado | EXISTE un protocolo documentado para gestionar y registrar los derechos del interesado | Bajo |
Política de seguridad | EXISTE un protocolo documentado para garantizar la seguridad de los datos personales y su protección desde el DISEÑO Y POR DEFECTO | Bajo |
Violaciones de la seguridad | EXISTE un protocolo documentado para gestionar y registrar las violaciones de la seguridad | Bajo |
Formación en protección de datos | [Se facilita suficiente formación al personal autorizado para tratar datos] mediante la publicación de la política de seguridad | Bajo |
Delegado de protección de datos (DPO) | [No precisa un DPO porque la actividad principal de la empresa] CONSISTE en tratar datos personales pero NO a GRAN ESCALA, ni regulados en el art. 34 de la LOPDGDD. | Bajo |
Evaluación de impacto (DPIA) | [No precisa realizar una DPIA porque] el tratamiento no comporta un alto riesgo para los derechos y libertades de las personas físicas. | Bajo |