Política de Protección de datos

Sky-tours.com (Nombre mercantil: Big Sky Group S.A.) necesita recopilar y usar cierta información acerca de los individuos.

Estos pueden incluir clientes, proveedores, contactos comerciales, empleados y otras personas con las que la empresa tenga relación o puede que necesite ponerse en contacto.

Esta política describe cómo deben recopilarse, manejarse y guardarse los datos personales para cumplir con los estándares de protección de datos de la empresa — y para cumplir con la legislación.

¿Por qué existe esta política?

Esta política de protección de datos asegura que Sky-tours.com:

  • Cumple con la ley de protección de datos y sigue unas buenas prácticas.
  • Protege los derechos del personal, clientes y socios.
  • Es abierta en relación a cómo guarda y procesa los datos de los individuos.
  • Se protege frente a los riesgos de la violación de los datos.

Ley de Protección de Datos

La Ley de protección de Datos de 1998 describe cómo las organizaciones — incluida Sky-tours.com— deben recopilar, manejar y guardar la información personal. 

Estas normas son de aplicación independientemente de si los datos se guardan de manera electrónica, en papel o en otros materiales.

Para cumplir con esta legislación, la información personal debe recopilarse y usarse de manera justa, debe guardarse con seguridad y no revelarse de forma ilegal.

La Ley de Protección de Datos se apoya en ocho principios importantes. Estos principios afirman que los datos personales deben:

  1.  Ser procesados de forma justa y legal.
  2.  Obtenerse únicamente para una finalidad específica y legal.
  3.  Ser adecuados, relevante y no excesivos.
  4.  Ser exactos y estar actualizados.
  5.  No deben guardarse durante más tiempo que el necesario.
  6.  Procesarse conforme a los derechos de los sujetos de los datos.
  7.  Estar protegidos de forma adecuada.
  8.  No deben transferirse fuera del Área Económica Europea (ACE) salvo que el país o el territorio asimismo asegure un nivel de protección adecuado.

Ámbito de la política

Esta política se aplica a:

  • La oficina principal de Sky-tours.com.
  • Todas las sucursales de Sky-tours.com.
  • Todo el personal y voluntarios de Sky-tours.com.
  • Todos los contratistas, proveedores y otras personas que trabajen de parte de Sky-tours.com.
Se aplica a todos los datos que la empresa guarda en relación con individuos identificables, incluso si dicha información técnicamente no se encuentra dentro de la Ley de Protección de Datos de 1998. Esto puede incluir:
  • Nombres de los individuos.
  • Direcciones postales.
  • Direcciones de correo electrónico.
  • Números de teléfono.
  • Además de cualquier otra información relacionada con los individuos.

Riesgos de la protección de datos

Esta política ayuda a proteger a Sky-tours.com de algunos riesgos de seguridad de los datos muy reales, que incluyen:

  • Violación de la confidencialidad. Por ejemplo, información que se distribuye de forma inadecuada.
  • Falta de ofertas de elección. Por ejemplo, todos los individuos deben ser libres para elegir cómo la empresa usa los datos relativos a ellos.
  • Daño a la reputación. Por ejemplo, la empresa puede sufrir si los piratas informáticos obtienen acceso con éxito a los datos sensibles.
Responsabilidades

Todos los que trabajan con o para Sky-tours.com tienen alguna responsabilidad para asegurar que los datos se recopilan, guardan y manejan de forma adecuada.

Cada equipo que gestiona los datos personales debe asegurarse de que se gestionan y procesan en consonancia con esta política y los principios de protección de datos. 

No obstante, estas personas tienen áreas clave de responsabilidad:

  • La junta directiva es responsable final de asegurarse de que Sky-tours.com cumple con sus obligaciones legales.
  • La oficial de protección de datos, Elisabeth Quezada, es responsable de:

          Mantener actualizado el tablero acerca de protección de datos, responsabilidades riesgos y problemas.

          Revisar todos los procedimientos de protección de datos y políticas relacionadas, en consonancia con el programa acordado.

          Disponer la formación en protección de datos y el asesoramiento para aquellas personas cubiertas por esta política.

          Gestionar las preguntas de protección de datos del personal y de cualquier otra persona cubierta por esta política.

          Ocuparse de las solicitudes de individuos para ver los datos que Sky-tours.com guarda sobre ellos (también denominado “solicitudes de acceso al sujeto”).

          Comprobar y aprobar cualquier contrato o acuerdo con terceras personas que puedan gestionar los datos sensibles de la empresa.

  • El director de IT, Raman Deep, es responsable de:

          Asegurar que todos los sistemas, servicios y equipos para guardar datos cumplen con los estándares de seguridad aceptables.

          Realizar comprobaciones y búsquedas regulares para asegurar que el hardware y el software de seguridad funcionan adecuadamente.

          Evaluar cualquier servicio de terceras personas que la empresa considere emplear para guardar o procesar los datos. Por ejemplo, servicios de computación en nube.

  • La directora de marketing, Elisabeth Cardus, es responsable de:

          Aprobar cualquier declaración de protección de datos adjunta a comunicaciones como correos electrónicos y cartas.

          Ocuparse de cualquier pregunta sobre protección de datos de periodistas o medios de comunicación como periódicos.

          Cuando sea necesario, trabajar con el resto del personal para asegurarse de que las iniciativas de marketing cumplen con los principios de protección de datos.

Directrices generales para la plantilla

  • Las únicas personas que pueden acceder a los datos cubiertos por esta política deben ser aquellas que los necesitan para su trabajo.
  • Los datos no deben compartirse de forma informal. Cuando sea necesario el acceso a información confidencial, los empleados pueden solicitarlo a sus directores de línea.
  • Sky-tours.com proporcionará formación a todos los empleados para ayudarles a entender sus responsabilidades cuando manejen datos.
  • Los empleados deben mantener todos los datos seguros, tomando precauciones sensatas y siguiendo las directrices que se mencionan debajo.
  • En particular, deben usarse contraseñas fuertes y nunca deben compartirse.
  • Los datos personales no deben revelarse a personas no autorizadas, ya sea dentro de la empresa o externas a la misma.
  • Los datos deben revisarse y actualizarse regularmente si se descubre que están desactualizados. Si ya no se necesitan, deben borrase y eliminarse.
  • Los empleados deben solicitar ayuda de su director de línea o del oficial de protección de datos en caso de que no estén seguros de cualquier aspecto respecto a la protección de datos. 

Almacenamiento de datos

Estas normas describen cómo y dónde deben guardarse los datos con seguridad. Las preguntas acerca del almacenamiento seguro de datos pueden dirigirse al director del IT o al controlador de datos.

Cuando los datos se guardan en papel, este debe guardarse en un lugar seguro donde las persona no autorizadas no puedan verlo.

Estas directrices asimismo se aplican a aquellos datos que normalmente se guardan electrónicamente, pero que se han impreso por alguna razón:

  • Cuando no sean necesario, el papel o los archivos deben guardarse en un armario cerrado o en un archivo.
  • Los empleados deben asegurarse de que el papel y las impresiones no se dejan donde personas no autorizadas puedan verlas, como en la impresora.
  • Las impresiones de datos deben romperse en pedazos y eliminarse de forma segura, cuando ya no sean necesarias.

Cuando los datos se almacenan electrónicamente, deben estar protegidos frente al acceso o autorizado, borrado incidental o intentos maliciosos de haqueo:

  • Los datos deben estar protegidos por contraseña fuertes que se cambien regularmente y que nunca se compartan entre empleados.
  • Si los datos se guardan en un medio extraíble (como un CD o DVD), estos deben mantenerse guardados de forma segura cuando no se usen.
  • Los datos solo deben guardarse en unidades y servidores designados, y solo deben subirse a servicios de computación en la nube aprobados.
  • Los servidores que contienen datos personales deben estar ubicados en un lugar seguro, alejados del espacio general de la oficina.
  • Se debe hacer una copia de seguridad de los datos con frecuencia. Estas copias de seguridad deben comprobarse de forma regular, en consonancia con los procedimientos de copias de seguridad estándares de la empresa.
  • Los datos nunca deben guardarse directamente en ordenadores portátiles u otros dispositivos móviles como tablets, o smartphones.
  • Todos los servidores y ordenadores que contienen datos deben estar protegidos mediante software de seguridad aprobado y un cortafuegos.

Uso de los datos

Los datos personales no tienen ningún valor para Sky-tours.com salvo que la empresa pueda hacer uso de ellos. Sin embargo, es cuando se acceden y se usan los datos personales que existe un mayor riesgo de pérdida, daño o robo:

  • Cuando se trabaje con datos personales, los empleados deben asegurarse de que las pantallas de sus ordenadores están siempre bloqueadas cuando se dejan desatendidas.
  • Los datos personales no deben compartirse de manera informal. En particular, nunca deben enviarse por correo electrónico, ya que esta forma de comunicación no es segura.
  • Los datos deben estar encriptados antes de que se transfieran electrónicamente. El director de IT puede explicar cómo enviar los datos a contactos externos autorizados.
  • Los datos personales nunca deben transferirse fuera del Área Económica Europea.
  • Los empleados no deben guardar copias de datos personales en sus propios ordenadores. Acceda siempre y actualice la copia centra de cualquier dato.

Exactitud de los datos

La legislación exige que Sky-tours.com tome medidas responsables para asegurarse de que los datos se guardan de forma exacta y actualizada.

Cuanta mayor importancia tiene que los datos personales sean exactos, mayor esfuerzo debe hacer Sky-tours.com para asegurar su exactitud.

Es responsabilidad de todos los empleados que trabajan con datos tomar medidas responsables para asegurarse de que se guardan de la forma más exacta y actualizada posible. 

  • Los datos se guardarán en el menor número de lugares que sea necesario. El personal no debe crear conjuntos de datos adicionales innecesarios.
  • El personal debe aprovechar cualquier oportunidad para asegurarse de que los datos están actualizados. Por ejemplo, confirmando los datos de un cliente cuando llame.
  • Sky-tours.com facilitará que los sujetos a los que pertenecen los datos actualicen la información que Sky-tours.com tiene sobre ellos. Por ejemplo, mediante la página web de la empresa.
  • Los datos deben actualizarse en caso de que se descubran inexactitudes. Por ejemplo, si un cliente ya no puede ser localizado en el número de teléfono que se guarda, debe eliminarse de la base de datos.
  • Es responsabilidad del director de marketing asegurarse de que las bases de datos de marketing se comprueban frente a los archivos de eliminación de la industria cada seis meses.

Solicitudes de acceso al sujeto

Todos aquellos individuos que sean los sujetos de los datos personales guardados por Sky-tours.com tienen derecho a:

  • Preguntar qué información guarda la empresa sobre ellos y por qué.
  • Preguntar cómo obtener acceso a ellos.
  • Estar informado de cómo mantenerlos actualizados. 
  • Estar informado de cómo la empresa cumple con sus obligaciones de protección de datos.

Si un individuo se pone en contacto con la empresa solicitando esta información, a esto se denomina una solicitud de acceso al sujeto. 

Las solicitudes de acceso al sujeto por parte de individuos se realizarán por correo electrónico, dirigido al controlador de datos a la dirección eliq@sky-tours.com. El controlador de datos puede proporcionar un formulario de solicitud estándar, aunque los individuos no tienen por qué usarlo.

Se cobrará 10 EUR a las personas por solicitud de acceso al sujeto. El controlador de datos intentará proporcionar los datos relevantes en un plazo de 14 días.

El controlador de datos siempre verificará la identidad de cualquier persona que realice una solicitud de acceso al sujeto antes de entregar cualquier información.

Revelación de datos por otros motivos

Bajo ciertas circunstancias, la Ley de Protección de Datos permite la revelación de datos personales a agencias y cuerpos policiales sin el consentimiento del sujeto al que pertenecen los datos.

Bajo estas circunstancias, Sky-tours.com revelará los datos solicitados. Sin embargo, el controlador de datos se asegurará que la solicitud es legítima, y buscará asistencia de la dirección y de los asesores legales de la empresa, cuando sea necesario.

Proporcionar información

Sky-tours.com tiene como objetivo asegurar que los individuos son conscientes de que se están procesando sus datos, y de que entienden:

  • Cómo se usan los datos.
  • Cómo ejercer sus derechos.

Para estos fines, la empresa dispone de una declaración de privacidad, que establece cómo usa la empresa los datos relacionados con individuos.