Información sobre el RGPD

Compromiso con la protección de datos

En nebulous-path estamos plenamente comprometidos con el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la normativa española de protección de datos (Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales).

Esta página ofrece información específica sobre cómo aplicamos los principios del RGPD en nuestra actividad profesional de selección de talento y consultoría de recursos humanos.

1. Identificación del responsable del tratamiento

El responsable del tratamiento de los datos personales es:

• Razón social: nebulous-path Servicios de Recursos Humanos S.L.
• CIF: B-12345678
• Domicilio social: Calle Serrano 93, 2ª planta, 28006 Madrid, España
• Email de contacto para protección de datos: [email protected]
• Registro: Inscrita en el Registro Mercantil de Madrid, Tomo 35.421, Folio 88, Hoja M-632145

2. Principios del tratamiento de datos

Todos los tratamientos de datos personales que realizamos se rigen por los siguientes principios establecidos en el artículo 5 del RGPD:

2.1. Licitud, lealtad y transparencia

Tratamos los datos de forma lícita, leal y transparente. Informamos claramente sobre qué datos recogemos, para qué los utilizamos y cuál es la base legal de cada tratamiento.

2.2. Limitación de la finalidad

Recogemos datos para finalidades determinadas, explícitas y legítimas, y no los tratamos posteriormente de manera incompatible con dichas finalidades.

2.3. Minimización de datos

Únicamente recogemos los datos personales que son adecuados, pertinentes y necesarios para los fines para los que se tratan. No solicitamos información innecesaria.

2.4. Exactitud

Mantenemos los datos exactos y actualizados. Adoptamos medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos.

2.5. Limitación del plazo de conservación

Conservamos los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos, incluyendo los plazos legales aplicables.

2.6. Integridad y confidencialidad

Tratamos los datos de manera que se garantice su seguridad mediante medidas técnicas y organizativas apropiadas para protegerlos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

3. Bases legales del tratamiento

Conforme al artículo 6 del RGPD, tratamos datos personales basándonos en las siguientes bases legales:

3.1. Ejecución de un contrato (art. 6.1.b RGPD)

Cuando una empresa nos contrata para realizar un proceso de selección, el tratamiento de datos (tanto del cliente como de los candidatos) es necesario para la ejecución del contrato de prestación de servicios.

3.2. Consentimiento del interesado (art. 6.1.a RGPD)

Cuando un candidato nos envía espontáneamente su CV para futuros procesos de selección, o cuando acepta que mantengamos sus datos en nuestra base de talento más allá del proceso inicial, el tratamiento se basa en su consentimiento expreso.

Este consentimiento puede ser retirado en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.

3.3. Interés legítimo (art. 6.1.f RGPD)

Para ciertas finalidades, como la mejora de nuestros servicios, la gestión interna de nuestra actividad o la prevención de fraudes, fundamentamos el tratamiento en nuestro interés legítimo, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

3.4. Obligación legal (art. 6.1.c RGPD)

Conservamos ciertos datos para cumplir con obligaciones legales, como normativa fiscal, mercantil o de prevención de blanqueo de capitales.

4. Categorías especiales de datos

En algunos procesos de selección podemos tratar categorías especiales de datos personales (datos sensibles) según el artículo 9 del RGPD, como:

• Datos de salud, cuando sean necesarios para gestionar adaptaciones del puesto de trabajo o permisos
• Datos relativos a condenas e infracciones penales, cuando la legislación aplicable lo requiera para ciertos puestos (ej. certificados de antecedentes penales)

El tratamiento de estas categorías especiales solo se realiza cuando:

• El interesado ha dado su consentimiento explícito (art. 9.2.a RGPD)
• Es necesario para el cumplimiento de obligaciones en el ámbito del derecho laboral (art. 9.2.b RGPD)
• Es necesario por razones de interés público esencial (art. 9.2.g RGPD)

En ningún caso utilizamos datos sensibles para tomar decisiones discriminatorias. Nuestro compromiso es con procesos de selección justos y basados en competencias profesionales.

5. Derechos de los interesados

El RGPD reconoce una serie de derechos a las personas cuyos datos personales son tratados. Estos derechos son:

5.1. Derecho de acceso (art. 15 RGPD)

Tienes derecho a obtener confirmación sobre si estamos tratando datos personales que te conciernen y, en tal caso, acceder a dichos datos y a la siguiente información:

• Finalidades del tratamiento
• Categorías de datos tratados
• Destinatarios a quienes se comunicaron o serán comunicados los datos
• Plazo de conservación previsto
• Derechos que te asisten

5.2. Derecho de rectificación (art. 16 RGPD)

Puedes solicitar la rectificación de datos inexactos o que se completen datos incompletos.

5.3. Derecho de supresión - "derecho al olvido" (art. 17 RGPD)

Puedes solicitar la supresión de tus datos cuando concurra alguna de las siguientes circunstancias:

• Ya no sean necesarios para los fines para los que fueron recogidos
• Retires el consentimiento en que se basaba el tratamiento
• Te opongas al tratamiento y no prevalezcan otros motivos legítimos
• Los datos hayan sido tratados ilícitamente

5.4. Derecho a la limitación del tratamiento (art. 18 RGPD)

Puedes solicitar la limitación del tratamiento cuando se dé alguna de las siguientes situaciones:

• Impugnes la exactitud de los datos, mientras verificamos su exactitud
• El tratamiento sea ilícito pero te opongas a la supresión de los datos
• Ya no necesitemos los datos pero tú los necesites para el ejercicio o defensa de reclamaciones
• Te hayas opuesto al tratamiento, mientras verificamos si nuestros motivos legítimos prevalecen

5.5. Derecho a la portabilidad (art. 20 RGPD)

Cuando el tratamiento esté basado en el consentimiento o en un contrato, y se efectúe por medios automatizados, tienes derecho a recibir tus datos en un formato estructurado, de uso común y lectura mecánica, y a que los transmitamos directamente a otro responsable cuando sea técnicamente posible.

5.6. Derecho de oposición (art. 21 RGPD)

Puedes oponerte en cualquier momento al tratamiento de datos basado en el interés legítimo o en el interés público. Dejaremos de tratar los datos salvo que acreditemos motivos legítimos imperiosos que prevalezcan sobre tus intereses, derechos y libertades, o para el ejercicio o defensa de reclamaciones.

5.7. Derecho a no ser objeto de decisiones individualizadas automatizadas (art. 22 RGPD)

Tienes derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o te afecte significativamente de modo similar. En nebulous-path no tomamos decisiones de selección basadas exclusivamente en algoritmos sin intervención humana.

5.8. Derecho a retirar el consentimiento (art. 7.3 RGPD)

Cuando el tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

6. Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos, puedes contactarnos mediante:

• Email: [email protected]
• Correo postal: Calle Serrano 93, 2ª planta, 28006 Madrid, España (Att: Protección de Datos)

Deberás:

• Especificar claramente qué derecho deseas ejercer
• Acreditar tu identidad mediante copia de DNI, NIE o documento equivalente
• Indicar una dirección de contacto para recibir la respuesta

Responderemos a tu solicitud en el plazo máximo de un mes desde su recepción. Este plazo podrá prorrogarse dos meses más si la complejidad de la solicitud lo requiere, informándote de ello en el primer mes.

7. Derecho a reclamar ante la autoridad de control

Si consideras que el tratamiento de tus datos personales vulnera el RGPD o la normativa española de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente:

• Autoridad: Agencia Española de Protección de Datos (AEPD)
• Dirección: Calle Jorge Juan 6, 28001 Madrid
• Web: www.aepd.es
• Sede electrónica: sedeagpd.gob.es

No obstante, antes de acudir a la autoridad de control, te animamos a contactar directamente con nosotros para resolver cualquier incidencia o duda relacionada con el tratamiento de tus datos.

8. Medidas de seguridad

Conforme a los artículos 32 y siguientes del RGPD, hemos implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:

• El estado de la técnica
• Los costes de aplicación
• La naturaleza, alcance, contexto y fines del tratamiento
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas

Entre otras, aplicamos las siguientes medidas:

• Seudonimización y cifrado de datos personales cuando es apropiado
• Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento
• Capacidad para restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente
• Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas
• Control de acceso a los datos mediante perfiles de usuario y contraseñas robustas
• Formación continua del personal en materia de protección de datos
• Procedimientos de respuesta ante brechas de seguridad

9. Evaluaciones de impacto y protección de datos desde el diseño

Cuando implementamos nuevos tratamientos de datos que puedan entrañar un alto riesgo para los derechos y libertades de las personas, realizamos evaluaciones de impacto relativas a la protección de datos (art. 35 RGPD).

Aplicamos el principio de protección de datos desde el diseño y por defecto (art. 25 RGPD), implementando medidas técnicas y organizativas apropiadas desde el inicio de cualquier nuevo tratamiento.

10. Registro de actividades de tratamiento

Conforme al artículo 30 del RGPD, mantenemos un registro de las actividades de tratamiento efectuadas bajo nuestra responsabilidad que contiene:

• Nombre y datos de contacto del responsable
• Fines del tratamiento
• Descripción de las categorías de interesados y de datos personales
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos
• Transferencias internacionales previstas
• Plazos de supresión previstos
• Descripción general de las medidas de seguridad técnicas y organizativas

11. Notificación de brechas de seguridad

En caso de violación de la seguridad de los datos personales que suponga un riesgo para los derechos y libertades de las personas, notificaremos a la autoridad de control competente en un plazo máximo de 72 horas (art. 33 RGPD).

Si la violación entraña un alto riesgo para los derechos y libertades de las personas, comunicaremos sin dilación indebida la violación al interesado afectado (art. 34 RGPD).

12. Encargados del tratamiento

Cuando contratamos proveedores que tratan datos personales en nuestro nombre (encargados del tratamiento), nos aseguramos de que:

• Solo traten datos siguiendo nuestras instrucciones documentadas
• Garanticen la confidencialidad de los datos
• Implementen medidas de seguridad apropiadas
• Asistan en el ejercicio de derechos de los interesados
• Colaboren en evaluaciones de impacto cuando sea necesario
• Pongan a disposición toda la información necesaria para demostrar el cumplimiento del RGPD

Estas garantías quedan reflejadas en contratos o actos jurídicos vinculantes (art. 28 RGPD).

13. Contacto

Para cualquier consulta relacionada con la protección de datos o el cumplimiento del RGPD:

• Email: [email protected]
• Dirección postal: Calle Serrano 93, 2ª planta, 28006 Madrid, España