Canal de denuncias
Registro
La presente Política de Privacidad tiene como finalidad informar, de forma clara y transparente, sobre cómo se tratan los datos personales recogidos a través del canal de denuncias habilitado por el responsable del tratamiento, mediante el sistema técnico facilitado por Compliance Management Systems S.L. (en adelante, ComplianceCMS), en calidad de encargado del tratamiento.
Este canal ha sido diseñado para garantizar una comunicación segura, confidencial y conforme a la normativa vigente, y permite reportar hechos que puedan constituir infracciones normativas o incumplimientos internos, asegurando la protección de la identidad del informante y de cualquier persona afectada.
A) Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través del canal de denuncias es la Fundación Instituto San José (en adelante, FISJ) con NIF G28689867 y domicilio en C/ PINAR DE SAN JOSÉ, Nº 98, C.P. 28054 de MADRID.
Para cualquier consulta relacionada con la presente política o con el ejercicio de derechos en materia de protección de datos, las personas interesadas pueden contactar a través del correo electrónico hospitalfundacionsanjose.dpd@sjd.es.
ComplianceCMS actúa como encargado del tratamiento, prestando soporte técnico y garantizando la seguridad del sistema conforme a lo dispuesto en el contrato suscrito con el cliente y el artículo 28 del RGPD.
B) Finalidad del tratamiento
Los datos personales obtenidos a través del canal serán tratados con la única finalidad de gestionar las denuncias recibidas. Esto incluye su recepción, análisis, posible investigación interna y, en su caso, la adopción de medidas correctivas, disciplinarias o legales.
Todo el proceso se desarrolla bajo estrictos principios de confidencialidad y proporcionalidad, y con la intención de prevenir y corregir posibles irregularidades en el seno de la organización.
C) Base jurídica del tratamiento
La implantación y gestión del Sistema interno de información de la FISJ responde al cumplimiento de una obligación legal aplicable al responsable del tratamiento, de conformidad con el artículo 6.1.c) del RGPD, al estar la entidad comprendida entre los sujetos obligados por la Ley 2/2023, de 20 de febrero.
De acuerdo con el artículo 30.2 de la Ley 2/2023, el tratamiento de los datos personales realizado en el marco de las comunicaciones internas se entiende lícito cuando resulte necesario para la aplicación de dicha ley.
En caso de que durante la tramitación de una comunicación se traten categorías especiales de datos, ese tratamiento solo se llevará a cabo cuando sea estrictamente necesario y con arreglo a lo previsto en el artículo 9.2.g) del RGPD y en la normativa aplicable.
En todos los casos, el tratamiento se realizará con sujeción a los principios de confidencialidad, minimización, limitación de la finalidad, acceso restringido y adopción de medidas técnicas y organizativas apropiadas.
D) Categorías de datos tratados
El uso del canal puede implicar el tratamiento de datos identificativos del informante, cuando este decida no permanecer en el anonimato. Asimismo, se podrán tratar datos relativos a los hechos denunciados, que pueden incluir información sobre personas implicadas, testigos u otros terceros, así como documentación o elementos probatorios aportados.
En ocasiones, la información comunicada puede incluir datos especialmente sensibles, como aquellos que revelen ideología, salud, afiliación sindical o convicciones personales, aunque su tratamiento se limitará estrictamente a los casos en los que resulte indispensable para la investigación de los hechos denunciados.
E) Accesos y destinatarios
El acceso a los datos personales contenidos en el canal de denuncias está estrictamente restringido al personal autorizado de la FIJS, designado específicamente para la gestión del canal.
ComplianceCMS, como encargado del tratamiento, no accede ni trata el contenido de las denuncias salvo que medie instrucción expresa del responsable.
Solo en caso necesario, los datos podrán ser comunicados a autoridades competentes (judiciales, administrativas o policiales), conforme a las obligaciones legales aplicables.
En ningún caso se cederán los datos a terceros para fines ajenos a los aquí descritos ni se realizarán transferencias internacionales de datos.
F) Conservación de los datos
Los datos personales relacionados con las denuncias serán conservados en el sistema por un plazo máximo de tres meses desde su recepción.
Transcurrido dicho plazo, si no se han iniciado actuaciones investigadoras o disciplinarias, los datos serán suprimidos, salvo que resulte necesaria su conservación bloqueada para el cumplimiento de obligaciones legales o la defensa de posibles reclamaciones.
En caso de que se inicien actuaciones, los datos podrán conservarse durante el tiempo en que estas estén activas y, una vez finalizadas, por el plazo adicional que determine la normativa aplicable.
G) Derechos de las personas interesadas
Los interesados podrán ejercer, en cualquier momento, los derechos que les reconoce la normativa de protección de datos. Estos incluyen los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad.
Para el ejercicio de dichos derechos, se deberá remitir una solicitud por escrito a hospitalfundacionsanjose.dpd@sjd.es, indicando claramente el derecho que se desea ejercer y acreditando debidamente la identidad del solicitante.
Asimismo, las personas que consideren que no han obtenido una respuesta adecuada podrán presentar una reclamación ante la Agencia Española de Protección de Datos, a través de su sitio web www.aepd.es.
H) Medidas de Seguridad
El canal ha sido desarrollado y es gestionado técnicamente por ComplianceCMS, quien ha implementado medidas técnicas y organizativas para garantizar la seguridad del tratamiento, conforme al artículo 32 del RGPD.
Entre las medidas aplicadas se encuentran el cifrado de datos, el control de acceso basado en roles, la trazabilidad de accesos, la autenticación robusta y el aislamiento lógico por cliente. Estas medidas son revisadas de forma periódica para asegurar un nivel de protección adecuado al riesgo.
Este canal ha sido diseñado para garantizar una comunicación segura, confidencial y conforme a la normativa vigente, y permite reportar hechos que puedan constituir infracciones normativas o incumplimientos internos, asegurando la protección de la identidad del informante y de cualquier persona afectada.
A) Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través del canal de denuncias es la Fundación Instituto San José (en adelante, FISJ) con NIF G28689867 y domicilio en C/ PINAR DE SAN JOSÉ, Nº 98, C.P. 28054 de MADRID.
Para cualquier consulta relacionada con la presente política o con el ejercicio de derechos en materia de protección de datos, las personas interesadas pueden contactar a través del correo electrónico hospitalfundacionsanjose.dpd@sjd.es.
ComplianceCMS actúa como encargado del tratamiento, prestando soporte técnico y garantizando la seguridad del sistema conforme a lo dispuesto en el contrato suscrito con el cliente y el artículo 28 del RGPD.
B) Finalidad del tratamiento
Los datos personales obtenidos a través del canal serán tratados con la única finalidad de gestionar las denuncias recibidas. Esto incluye su recepción, análisis, posible investigación interna y, en su caso, la adopción de medidas correctivas, disciplinarias o legales.
Todo el proceso se desarrolla bajo estrictos principios de confidencialidad y proporcionalidad, y con la intención de prevenir y corregir posibles irregularidades en el seno de la organización.
C) Base jurídica del tratamiento
La implantación y gestión del Sistema interno de información de la FISJ responde al cumplimiento de una obligación legal aplicable al responsable del tratamiento, de conformidad con el artículo 6.1.c) del RGPD, al estar la entidad comprendida entre los sujetos obligados por la Ley 2/2023, de 20 de febrero.
De acuerdo con el artículo 30.2 de la Ley 2/2023, el tratamiento de los datos personales realizado en el marco de las comunicaciones internas se entiende lícito cuando resulte necesario para la aplicación de dicha ley.
En caso de que durante la tramitación de una comunicación se traten categorías especiales de datos, ese tratamiento solo se llevará a cabo cuando sea estrictamente necesario y con arreglo a lo previsto en el artículo 9.2.g) del RGPD y en la normativa aplicable.
En todos los casos, el tratamiento se realizará con sujeción a los principios de confidencialidad, minimización, limitación de la finalidad, acceso restringido y adopción de medidas técnicas y organizativas apropiadas.
D) Categorías de datos tratados
El uso del canal puede implicar el tratamiento de datos identificativos del informante, cuando este decida no permanecer en el anonimato. Asimismo, se podrán tratar datos relativos a los hechos denunciados, que pueden incluir información sobre personas implicadas, testigos u otros terceros, así como documentación o elementos probatorios aportados.
En ocasiones, la información comunicada puede incluir datos especialmente sensibles, como aquellos que revelen ideología, salud, afiliación sindical o convicciones personales, aunque su tratamiento se limitará estrictamente a los casos en los que resulte indispensable para la investigación de los hechos denunciados.
E) Accesos y destinatarios
El acceso a los datos personales contenidos en el canal de denuncias está estrictamente restringido al personal autorizado de la FIJS, designado específicamente para la gestión del canal.
ComplianceCMS, como encargado del tratamiento, no accede ni trata el contenido de las denuncias salvo que medie instrucción expresa del responsable.
Solo en caso necesario, los datos podrán ser comunicados a autoridades competentes (judiciales, administrativas o policiales), conforme a las obligaciones legales aplicables.
En ningún caso se cederán los datos a terceros para fines ajenos a los aquí descritos ni se realizarán transferencias internacionales de datos.
F) Conservación de los datos
Los datos personales relacionados con las denuncias serán conservados en el sistema por un plazo máximo de tres meses desde su recepción.
Transcurrido dicho plazo, si no se han iniciado actuaciones investigadoras o disciplinarias, los datos serán suprimidos, salvo que resulte necesaria su conservación bloqueada para el cumplimiento de obligaciones legales o la defensa de posibles reclamaciones.
En caso de que se inicien actuaciones, los datos podrán conservarse durante el tiempo en que estas estén activas y, una vez finalizadas, por el plazo adicional que determine la normativa aplicable.
G) Derechos de las personas interesadas
Los interesados podrán ejercer, en cualquier momento, los derechos que les reconoce la normativa de protección de datos. Estos incluyen los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad.
Para el ejercicio de dichos derechos, se deberá remitir una solicitud por escrito a hospitalfundacionsanjose.dpd@sjd.es, indicando claramente el derecho que se desea ejercer y acreditando debidamente la identidad del solicitante.
Asimismo, las personas que consideren que no han obtenido una respuesta adecuada podrán presentar una reclamación ante la Agencia Española de Protección de Datos, a través de su sitio web www.aepd.es.
H) Medidas de Seguridad
El canal ha sido desarrollado y es gestionado técnicamente por ComplianceCMS, quien ha implementado medidas técnicas y organizativas para garantizar la seguridad del tratamiento, conforme al artículo 32 del RGPD.
Entre las medidas aplicadas se encuentran el cifrado de datos, el control de acceso basado en roles, la trazabilidad de accesos, la autenticación robusta y el aislamiento lógico por cliente. Estas medidas son revisadas de forma periódica para asegurar un nivel de protección adecuado al riesgo.