Actividad de tratamiento N.º 4

 

  • Denominación de la actividad de tratamiento:
    • Canal Ético
  • Extensión geográfica de la actividad de tratamiento:
    • Nacional
  • Número de interesados afectados:
    • Cifra concreta de interesados afectados (cifra lo más aproximada posible si no se dispone de la cifra exacta): De 0 a 10.000 interesados afectados
    • Proporción aproximada de la población correspondiente (en el supuesto de un porcentaje relevante de personas en un determinado contexto o ámbito): null
  • Descripción de los fines de tratamiento:
    • Tratamiento de los datos personales de las personas interesadas necesarios para la gestión e investigación de las comunicaciones recibidas a través del canal ético
  • Medios utilizados para la recogida de la información:
    • Plataforma Digital Canal Ético
  • Operaciones concretas a realizar sobre los datos personales:
    • Recogida
    • Registro
    • Organización
    • Conservación o almacenamiento
    • Consulta
    • Comunicación por transmisión
    • Limitación
    • Supresión
    • Destrucción
  • Base jurídica del tratamiento / criterio de legitimación:
    • El tratamiento se funda en el cumplimiento de una obligación exigible al responsable en una norma de rango legal (art.6.1c)RGPD) (especificar si es posible*):
      • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público incluido el tratamiento de datos personales derivado de una revelación pública (art.6.1e)RGPD).
  • En el caso de que sea necesario el consentimiento de los interesados, identificar posibles medios para recabar el mismo:
  • Descripción de las categorías de interesados:
    • Personas físicas titulares de los datos personales que se aportan en la comunicación remitida a través del canal ético y personas físicas titulares de los datos personales generados durante la investigación interna.
  • Tipificación de colectivos o categorías de interesados:
    • Clientes y usuarios
    • Empleados
    • Empleados de empresas contratistas y subcontratistas
    • Proveedores
    • Solicitantes
    • Personas interesadas afectadas
    • Funcionarios
    • Becarios
    • Voluntarios
    • Cualquier persona que conozca sobre la comisión y actos o conductas que pudieran resultar contrarios a la ley o a la ética de la entidad
  • Descripción del origen de los datos:
    • Los datos personales han sido obtenidos a través del propio interesado
  • Tipificación del origen de los datos:
    • El propio interesado
  • Descripción de las categorías de datos personales:
    • Conjunto de los datos necesarios para la gestión e investigación de las comunicaciones remitidas a través del canal ético.
  • Tipificación de datos personales objeto de tratamiento:
    • Características personales
    • Detalles del empleo
    • Dirección postal
    • Dirección de correo electrónico
    • NIF / DNI
    • Nombre y apellidos
    • Teléfono
    • Hechos vinculados a las denuncias
    • Indicios y pruebas sobre infracciones administrativas, laborales y/o penales.
  • Áreas con acceso a los datos y tipo de acceso:
    • Jurídico / Legal
      • Acceso local
      • Acceso remoto
  • Descripción de las categorías de destinatarios / cesiones o comunicaciones de datos:
    • Comunicación de datos n.º 1
      • Identidad del destinatario: Autoridad judicial o administrativa competente.
      • Tipo de actividad del destinatario: Organismo competente para investigar
      • Finalidad de la comunicación: Investigación de los hechos
    • Comunicación de datos n.º 2
      • Identidad del destinatario: Audidat 3.0, S.L.
      • Tipo de actividad del destinatario: Consultora de Cumplimiento Normativo
      • Finalidad de la comunicación: Gestión Canal Ético
  • Tipificación de cesiones o comunicaciones de datos:
    • Ministerio Fiscal
    • Autoridad judicial o administrativa competente
    • Encargados de tratamiento (prestación servicios gestión Canal Ético)
  • Descripción de las categorías de destinatarios en terceros países u organizaciones internacionales:
    • No se producen
  • Descripción de los plazos previstos para la supresión de las diferentes categorías de datos personales / plazos de conservación:
    • Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades derivadas del tratamiento. Posteriormente, la conservación o en su caso, la supresión se realiza conforme a la
      normativa y política de gestión y conservación documental.
    • Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos
      denunciados.
    • No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida (art. 29 Ley 2/2023).
    • El plazo máximo de borrado en caso de que no se hallen hechos relevantes para la instrucción es de tres (3 meses). En estos  supuestos podrá almacenarse la información completamente anonimizada y no se procederá al bloqueo.
    • En ningún caso podrán conservarse los datos por un período superior a diez (10) años.
  • Encargados del tratamiento:
    • No hay encargados del tratamiento para esta actividad.
  • Detalle de actividades de tratamiento de alto riesgo:
    • Bloque de riesgos A – Daños o perjuicios económicos, morales o sociales significativos:
      • El tratamiento puede generar situaciones de discriminación para los afectados. Supuesto previsto para tratamientos de información sobre orientación sexual, origen racial, afiliación sindical, etc. no protegida con medidas técnicas y organizativas
        suficientes
      • El tratamiento puede generar situaciones de usurpación de identidad o fraude para los afectados. Supuesto previsto para tratamientos de información bancaria, fotocopias de DNI, etc. no protegida con medidas técnicas y organizativas suficientes
      • El tratamiento puede generar pérdidas financieras a los afectados
      • El tratamiento puede generar daño para la reputación a los afectados
      • El tratamiento puede generar cualquier otro perjuicio económico, moral o social significativo para los afectados
    • Bloque de riesgos B – Privación de derechos y/o mecanismos de control
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos C – Tratamiento de categorías especiales de datos personales
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos D – Creación o utilización de perfiles personales de usuarios
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos E – Datos de personas especialmente vulnerables
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos F – Volumen de datos
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos G – Transferencias a terceros Estados
      • En principio, no se aprecian riesgos específicos de esta sección
    • Bloque de riesgos H – Otros supuestos de riesgo
      • En principio, no se aprecian riesgos específicos de esta sección
  • Nivel de riesgo:
    • Alto riesgo