Los centros ORPEA ahora se llaman Bouco
Solicitud de información
Información
Política de privacidad
Actualizado 26 Febrero 2024

Responsable: emeis iberia, S.AU. y sus filiales; Finalidad: responder la consulta o solicitud de información; Legitimación: Consentimiento;  Destinatarios: no se cederán datos a terceros salvo obligación legal; Derechos: Acceso, rectificación, supresión, así como los demás recogidos en la Protección de Privacidad; Más información: Política de Privacidad www.boucomayores.es.

Protección de datos

Introducción

En Emeis Iberia, S.A.U., y sus sociedades vinculadas y/o filiales enumeradas en el Anexo I de esta Política (en adelante, como “EMEIS”) estamos comprometidos a desarrollar nuestra actividad con el máximo respeto a la intimidad de nuestros empleados y pacientes/residentes. Este compromiso se refleja en nuestro Código de Conducta, cuyo tercer principio establece que “EMEIS se compromete a respetar estrictamente los datos de carácter personal y la legislación vigente en materia de protección de datos”.

Una de las principales obligaciones de EMEIS respecto a la protección de datos personales es el cumplimiento del principio de responsabilidad proactiva (accountability). Dicho principio impone que apliquemos medidas de seguridad técnicas y organizativas para garantizar el cumplimiento de las normas y proteger los datos personales. 

Por eso, todos los que formamos parte de EMEIS debemos fomentar activamente la cultura de la protección de datos, asegurándonos de que todos conocemos nuestros derechos y obligaciones.

La finalidad de esta Política es establecer los objetivos de gestión de la privacidad, orientando e informando sobre distintos aspectos que debemos saber sobre la protección de los datos de carácter personal en EMEIS. 

Este documento constituye uno de los documentos principales del Sistema de Gestión de Protección de Datos de EMEIS, que debe ser conocido y respetado por todas las personas vinculadas a EMEIS y a cualquiera de sus entidades, comprometiéndose todas ellas de manera expresa a su cumplimiento. 

Referencias normativas

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (LOPDGDD).
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). 

Ámbito de aplicación

Las reglas y pautas que se contienen y desarrollan en la presente Política son de aplicación a todo el personal, los equipos y los sistemas relacionados con tratamientos, usos o medios de EMEIS que contengan datos de carácter personal. 

Quedan especialmente vinculados a esta Política: 

  1. todos aquellos empleados o personas que actúen en nombre y representación de EMEIS que estén involucrados en cualquier operación o conjunto de operaciones realizada sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, que impliquen recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.
  2. todos los recursos de los sistemas de información por medio de los cuales se puede acceder a los ficheros, tratamientos o usos que contienen datos de carácter personal, así como todos los dispositivos que efectúen cualquier proceso de tratamiento o almacenamiento de datos de carácter personal. 

Cualquier violación de esta Política podría exponer a EMEIS, a sus empleados y/o terceros que actúe en su nombre a importantes sanciones administrativas, penales y/o disciplinarias. 

DEFINICIONES:

Dato personal:Un dato personal es cualquier información que identifique, o haga identificable, a una persona física.
Persona física identificableToda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador como puede ser un nombre, número de identificación, datos de localización, un identificador en línea, elementos propios de la identidad física, fisiológica, psíquica, económica, cultural o social de dicha persona.
Dato de salud:Los datos de salud o “datos sanitarios”, son todos aquellos datos relativos al estado de salud física o mental, presente, pasada o futura, de una persona física. Algunos ejemplos son: datos de enfermedad.5) los tratamientos médicos.datos de discapacidad.6) el estado fisiológico o biomédico de la persona.el historial clínico.7) el riesgo de padecer enfermedades.cualquier informe médico.8) cualquier número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios.
Afectado/ interesadoEs la persona física titular de los datos que son objeto de tratamiento. 

Tratamiento:		Un tratamiento es cualquier operación, o conjunto de operaciones, realizadas sobre los datos personales, por ejemplo: la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.Por nuestra propia actividad, EMEIS trata “datos personales de salud”, que conforme a la regulación vigente están especialmente protegidos. 
Historia clínicaEs el documento o conjunto de documentos que contienen toda la información de utilidad clínica relativa a un residente, paciente y/o cliente en el centro.La finalidad principal de la Historia Clínica es posibilitar y facilitar la asistencia sanitaria al residente, paciente y/o cliente, recogiendo en ella toda la información clínica necesaria para asegurar, bajo un criterio médico, el conocimiento veraz, exacto y actualizado de su estado de salud por los sanitarios que le atienden, así como el seguimiento del proceso asistencial.La gestión y protección de los datos de salud contenidos en los historiales clínicos de pacientes, residentes y/o clientes es objeto de regulación en un documento interno distinto a esta Política.
Responsable del tratamientoPersona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Encargado del tratamientoPersona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
DestinatariosLa persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta en el marco de una investigación de conformidad con el derecho de la Unión o de los estados miembros.
Cesión o comunicación de datosToda revelación de datos realizada a una persona distinta del interesado.
Transferencia internacionalTransmisión de datos que supone una transmisión de los mismos fuera del territorio de la Unión Europea y/o Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del tratamiento en territorio español.
Terceropersona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. 
SeudoanonimizaciónEl tratamiento de datos personales de manera tal que ya no pueda atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable..
PerfiladoToda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física y para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

ROLES Y RESPONSABILIDADES.

Las funciones y responsabilidades a nivel general asociadas a cada rol se definen desde la Dirección de EMEIS y su consejo de Administración. 

A continuación, se indican los roles del SGPD de EMEIS. Las funciones y obligaciones del DPD son las que se recogen en el Reglamento del Delegado de Protección de Datos.

  1. RESPONSABLE DEL TRATAMIENTO DE LOS DATOS 

Es quien decide sobre la finalidad, contenido y uso del tratamiento de los datos. A efectos de este Documento, el Responsable final del tratamiento de datos es EMEIS IBERIA, S.A.U. que está compuesta por varias sociedades, entidades cuyos datos figuran en el Anexo I: Sociedades vinculadas con EMEIS. 

DELEGADO DE PROTECCIÓN DE DATOS (DPD) (DATA PROTECTION OFFICER o DPO)

EMEIS ha nombrado a un Delegado de Protección de Datos (Data Protecton Officer, DPO o DPD) común para las sociedades vinculadas a EMEIS IBERIA, S.A.U., tanto en España como en Portugal, en cumplimiento del art. 37 del Reglamento Europeo de Protección de Datos.

Con el objetivo de garantizar que los interesados (tanto dentro como fuera de la organización) y las autoridades supervisoras puedan ponerse en contacto con el DPO de forma fácil, directa y confidencial, cumpliendo así con el Art. 37 del RGPD, EMEIS ha comunicado los datos de contacto del DPO a las autoridades supervisoras correspondientes y publica la identidad y datos de contacto del DPO:

DPO:Ana de Nárdiz Álvarez de Toledo
Correo:dpo-es@emeis.com 
Dirección:Paseo del General Martínez Campos, 46, 7ª Planta, 28010 Madrid, España

El DPD es una figura garante del cumplimiento de la normativa de Protección de Datos dentro de la entidad. Tienen la misión de asesorar, supervisar y velar de forma proactiva por el funcionamiento eficaz del sistema de gestión de protección de datos dentro de la entidad y en su relación de esta con terceros. 

Las funciones del DDP son las que recoge el RGPD. 

Tiene como principal misión coordinar la implantación y mantenimiento evolutivo y correctivo de las medidas de seguridad y procedimientos que se establezcan en los plazos acordados, además de comprobar la aplicación de las medidas de seguridad descritas en este documento.

Funciones del DPO en cuanto a medidas de seguridad:

  • Controlar el cumplimiento del RGPD por EMEIS. 
  • Asesorar a EMEIS para llevar a cabo las evaluaciones de impacto de la protección de datos. 
  • Considerar debidamente el riesgo asociado a las actividades de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. 
  • Mantener el registro de las operaciones de tratamiento, responsabilidad de EMEIS con el fin de llevar a cabo las funciones de control del cumplimiento, información y asesoramiento.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. 
  1. Dirección de tecnología y sistemas: 

Tiene como principal misión coordinar la implantación y mantenimiento evolutivo y correctivo de las medidas de seguridad y procedimientos que se establezcan en los plazos acordados, además de comprobar la aplicación de las medidas de seguridad descritas en este documento.

  1. Dirección de los centros (clínicas, residencias, centros de día, apartamentos):

Llevanza de Registros referidos al centro que dirija, con referencia a las evidencias del cumplimiento y la eficacia de las medidas de seguridad.

En el encargado de la detección y notificación en las distintas ubicaciones o centros en los que se tratan datos personales de clientes por ofrecer servicios en atención directa con el cliente. 

  1. El personal

Todo el personal autorizado para acceder a los sistemas de información o ficheros que contengan datos de carácter personal, está obligado a cumplir la normativa de seguridad recogida en esta Política y cualquier otra que EMEIS pudiera dictar. 

PRINCIPIOS DE TRATAMIENTO EN EMEIS

En EMEIS estamos comprometidos a desarrollar nuestra actividad con total transparencia, lealtad y licitud de los datos, cumpliendo con los siguientes principios:

  1. Licitud: Sólo trataremos los datos personales para fines específicos, explícitos y legítimos, amparados en alguna de las bases jurídicas permitidas por la legislación y sin poder ser tratados posteriormente de manera incompatible con dichos fines.
  2. Transparencia: Solo procesaremos los datos personales en la manera que se haya informado a los interesados. Esta información deberá abarcar la finalidad del tratamiento, su base legal y la posibilidad de ejercer sus derechos.
  3. Minimización de datos y proporcionalidad: Nos aseguraremos de que sólo tratamos los datos personales que sea necesarios, adecuados, pertinentes y no excesivos para el propósito del tratamiento. 
  4. Exactitud: los datos de carácter personal deben ser exactos y mantenerse completos y actualizados de tal manera que permitan el cumplimiento de las finalidades para las que fueron recabados.
  5. Retención y eliminación: Conservaremos los datos personales sólo durante el tiempo que sea necesario en relación con los fines del tratamiento. Los datos personales que ya no sean necesarios transcurrido los plazos legales o establecidos para el tratamiento, serán eliminados.
  6. Confidencialidad y seguridad de datos: Estamos obligados a aplicar las normas establecidas para proteger los datos personales que procesamos, tanto desde la perspectiva de la seguridad técnica como de la seguridad de la organización. A este respecto, se aplica el principio de «necesidad de saber», de modo que sólo podemos acceder la información personal que sea necesaria para el correcto desempeño de nuestras funciones, estando prohibido usar datos personales con fines privados o comerciales, para divulgarlos o ponerlos a disposición de terceros de cualquier otra forma. Esta obligación permanecerá en vigor incluso después de que nuestra relación profesional haya terminado. 

REGLAS RELATIVAS A LOS TRATAMIENTOS 

Como regla general, EMEIS está obligado a que toda la información que facilite a los interesados debe transmitirse de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Con ello, se evita que se recaben datos personales por medios o métodos fraudulentos, desleales o ilícitos y el interesado conoce el alcance real del consentimiento que presta, los fines de la recogida y el modo de ejercitar los derechos. 

En este sentido, el tratamiento de carácter personal solo será lícito si concurre alguno de los siguientes supuestos: 

  1. Se hayan obtenido el consentimiento libre, explicito, inequívoco e informado del interesado;
  2. Cuando el tratamiento sea preciso para el mantenimiento o el cumplimiento de una relación jurídica entre EMEIS  y el interesado, como la ejecución de un contrato; 
  3. Cuando un interés legítimo de EMEIS justifique el tratamiento, siempre y cuando no prevalezcan los intereses legítimos, derechos o libertades de los interesados;
  4. Cuando el tratamiento sea necesario para el cumplimiento de una obligación impuesta sobre EMEIS por la legislación aplicable o sea llevada a cabo por una Administración Publica que así lo precise para el legítimo ejercicio de sus competencias; o
  5. Cuando concurran situaciones excepcionales que pongan en peligro la vida, la salud o la seguridad del interesado o de la persona. 

La necesidad de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos se debe efectuar en el momento en que se soliciten los mismos, previamente a su recogida o registro, si es que se obtienen directamente del interesado.

En el supuesto de que los datos no se obtengan directamente del interesado, por proceder de alguna cesión legítima o incluso de fuentes de acceso público, EMEIS informará a las personas interesadas con anterioridad a cualquier comunicación que se vaya a realizar o en el plazo de un mes desde que se obtuvieron. Esta obligación se debe cumplir sin necesidad de requerimiento alguno y EMEIS debe poder acreditar que lo ha efectuado. Todo ello se llevará a cabo, siempre y cuando no resulte imposible de realizar o suponga un esfuerzo desproporcionado.

Para poder cumplir con las exigencias del RGPD y atendiendo a las recomendaciones de la Agencia de Protección de Datos, se ha adoptado el modelo de información por capas o niveles. En todo caso presentarán información relativa a EMEIS, la finalidad de los datos, la legitimación para su tratamiento, posibles destinatarios de los datos, para el supuesto de cesión y/o transferencia internacional de los mismos, y todo lo relativo para el ejercicio de Derechos de Protección de Datos. De esta manera, el enfoque de información multinivel quedará configurado de la siguiente manera:

  • Primera capa o nivel: se presenta la información básica de forma resumida, en el mismo medio y momento en el que se recojan los datos.
  • Segunda capa o nivel: se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

CATEGORÍAS ESPECIALES DE DATOS 

Cabe poner de manifiesto que cuando se estén tratando categorías especiales de datos personales, no se podrá alegar que el interés legítimo es la base jurídica para su tratamiento. Esto es de aplicación cuando el tratamiento recaiga sobre los siguientes datos: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, relativos a la salud, relativos a la vida u orientación sexual.

Todos estos datos son considerados como datos sensibles, especialmente protegidos, y, tras la publicación del RGPD, como una categoría especial de datos personales. 

Por tanto, los datos personales existentes en bases de datos sanitarias son de dos tipos: los que identifican a la persona, tales como nombre y apellidos, dirección, teléfono, DNI, número de tarjeta sanitaria, etc.; y toda la información acerca de su estado de salud, tales como pruebas diagnósticas, cirugías, medicamentos, antecedentes familiares, etc.

Toda esta información personal y de salud constituye la denominada “Historia clínica”, que define la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP) como: el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial. La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro sanitario.

La historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada.

La finalidad principal de la historia clínica es facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan ese conocimiento veraz y actualizado del estado de salud referido en el párrafo anterior. Los usuarios de la sanidad se cuestionan quién es el propietario de su historia clínica. Desde la perspectiva de la normativa de protección de datos no se maneja este concepto de propiedad. 

EMEIS, como responsable de la historia clínica, tienen la obligación de custodiarla e implantar las medidas técnicas y organizativas necesarias a fin de garantizar su seguridad, confidencialidad, integridad y disponibilidad. El paciente/usuario tiene el derecho a solicitar una copia de su historia clínica, con la que puede acudir a otro centro o a otro especialista; al revisarla, puede pedir rectificación o la supresión de algunos datos, etc.

TRATAMIENTO DE DATOS PERSONALES DE EMPLEADOS: 

Cada uno de los centros que forman parte de EMEIS informa a sus empleados de todos los extremos legalmente exigidos, incluyendo: (i) que la recogida de los datos personales tiene como finalidad el cumplimiento de la relación contractual y el cumplimiento de las obligaciones legales impuestas a la empresa; (ii) que el tratamiento está legitimado por la ejecución del contrato; (iii) que sus datos personales podrán ser comunicados a empresas del mismo grupo de empresas, sociedades vinculadas y entidades necesarias para el cumplimiento de las finalidades previstas, en especial, las previstas en el Anexo I.

TRATAMIENTO DE DATOS PERSONALES DE CLIENTES, PACIENTES Y RESIDENTES:

Cada uno de los centros que forman parte de EMEIS informa a sus clientes, pacientes y residentes de todos los extremos legalmente exigidos, incluyendo: (i) que la recogida de los datos personales tiene como finalidad el cumplimiento de la relación contractual y la prestación de los servicios de estancia y tratamiento sanitario así como realizar los servicios administrativos conexos a dichos servicios como la facturación, gestión y cobros; (ii) que el tratamiento está legitimado por la ejecución del contrato y las obligaciones legales impuestas a las empresas de su mismo grupo y/o sociedades vinculadas; en especial, las previstas en el Anexo I; (iii) que sus datos personales podrán ser comunicados a empresas de su mismo grupo y/o sociedades vinculadas, así como a los centros sanitarios y/o profesionales de salud que requieran la información para cumplir con el contrato y con la obligación o requerimientos públicos o privados; en especial, las previstas en el Anexo I. 

TRATAMIENTO DE DATOS PERSONALES DE CANDIDATOS:

Si un candidato manifiesta interés por trabajar en EMEIS, debe presentar su candidatura a través de la plataforma en nuestra página web. Esta herramienta digital garantiza el cumplimiento de la normativa de protección de datos en los procesos de selección. Solamente, de forma excepcional, a la vista de las circunstancias del candidato podremos aceptar su C.V. en papel tras la firma del documento “INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE CANDIDATOS” en el que se contienen todos los extremos relativos a la finalidad, destino y plazo de conservación de sus datos curriculares. 

VIDEOVIGILANCIA:

EMEIS informa de que en sus centros e instalaciones existe de un sistema de vigilancia mediante cámaras para garantizar la seguridad de los trabajadores, residentes, pacientes, clientes, visitas y todas aquellas personas que concurran al interior del mismo, así como para poder ejercer de la función de control de la empresa, de conformidad con el art. 89 de la LOPDGDD y el art. 20.3 del Estatuto de los Trabajadores.

La información obtenida y almacenada mediante el sistema de grabación se utilizará exclusivamente para fines de prevención, seguridad y protección de personas y bienes que se encuentren en el establecimiento o instalación sometida a protección, así como para la supervisión de la relación laboral con los empleados y depurar las responsabilidades legales y laborales que eventualmente procedan en caso de incumplimiento de los deberes y obligaciones legalmente impuestos al empleado. 

EMEIS garantiza que las imágenes obtenidas respetarán en todo momento los derechos fundamentales del empleado y que ningún caso supondrá un menoscabo en la honra y reputación, ni será contraria a los intereses del empleado, respetando en todo momento la Ley 1/1982, de 5 de mayo, sobre el derecho al honor, a la intimidad personal y familiar y a la propia imagen, la Ley 3/2018 sobre Protección de Datos Personales, así como la demás legislación aplicable.

FOTOGRAFÍAS Y USO DE IMAGEN: 

EMEIS recaba el consentimiento apropiado para el uso de las imágenes (grabación de vídeos y/o fotos) y archivos electrónicos en los que figura la imagen de pacientes, residentes, clientes, empleados y terceros con las finalidad de publicar, exponer o difundir en el centro de trabajo las fotografías y/o los videos tomados en eventos internos del propio centro, así como mostrar las distintas residencias, clínicas, centros de día o apartamentos y actividades que se realizan dentro de las mismas en la página web www.emeis.es, en las redes sociales y/o medios de comunicación social. En este caso, se publicarán imágenes y/o vídeos en las redes sociales en las que EMEIS tiene o pudiera tener presencia, lo que implica o pudiera implicar el acceso público a las mismas, así como la posibilidad de que sean compartidas por otras personas o páginas, sobre las que EMEIS no dispone de ningún poder de control o vinculación. 

EMEIS se compromete a que el uso de este material en ningún caso supondrá un menoscabo en la honra y reputación, ni será contraria a los intereses de las personas, respetando en todo momento la Ley 1/1982, de 5 de mayo, sobre el derecho al honor, a la intimidad personal y familiar y a la propia imagen, la Ley 3/2018 sobre la Protección de Datos Personales, así como la demás legislación aplicable.

NAVEGACIÓN ONLINE Y COOKIES:

Las cookies son pequeños archivos de texto que se instalan en el navegador del ordenador del usuario para registrar su actividad, enviando una identificación anónima que se almacena en el mismo, con la finalidad de que la navegación sea más sencilla, permitiendo, por ejemplo, el acceso a las áreas, servicios o promociones a los usuarios que se hayan registrado previamente, evitando tener que registrarse en cada visita. Se pueden utilizar también para medir la audiencia, parámetros del tráfico y navegación, tiempo de sesión, y/o controlar el progreso y el número de entradas.

EMEIS procurará en todo momento establecer mecanismos adecuados para obtener el consentimiento del Usuario para la instalación de cookies que lo requieran.

Para más información sobre las Cookies utilizados por EMEIS y las normas de Navegación web, por favor consulte nuestra Política de Cookies y Navegación. 

MEDIDAS DE SEGURIDAD DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

En EMEIS hemos adoptado una serie de medida técnicas y organizativas para salvaguardar la confidencialidad y seguridad de la información que tratamos. 

El objetivo de este apartado es establecer las medidas técnicas y organizativas de seguridad apropiadas de cara a salvaguardar la confidencialidad, integridad y disponibilidad de la información que contenga datos personales responsabilidad de EMEIS. 

  1. Alcance 

Estas medidas de seguridad se aplican a todos los tratamientos de datos personales que se realizan en EMEIS, entendiendo como tratamiento, todas las operaciones, procesos y actividades de EMEIS que de alguna manera participan en el ciclo de vida del dato personal sometido a lo dispuesto en el RGPD, como es la captación, almacenamiento, tratamiento, cesión y supresión. 

  1. Clasificación de la información 

Teniendo en cuenta que los datos personales son toda información sobre una persona física identificada o identificable.

Podemos definir los siguientes niveles de clasificación de la información:

  • Información confidencial: Es aquella información que sólo debe estar disponible para las personas o áreas internas autorizadas, estando prohibida su difusión sin autorización previa, como es el caso de las categorías especiales de datos que manejan, por su carácter sensible.
  • Información interna: Es aquella información que puede ser accedida libremente por cualquier empleado y su divulgación normalmente es accesible a través de la Intranet, su consulta y conocimiento es necesario y podría considerarse hasta obligatorio. Ejemplo: normas de uso, comunicados internos, cuadro de horarios, convocatorias sindicales, procedimientos y normas internas de obligado cumplimiento, divulgación del plan de formación anual, manual de formación interna. El acceso a este tipo de información sin autorización podría causar pequeños daños a EMEIS, tales como incomodidad por su revelación, pero en ningún momento esto supondría un daño económico o reputacional. El uso de la información interna no puede ser desvelado a personal no autorizado, o terceros fuera de la entidad, sin autorización de la Dirección de EMEIS.
  • Información pública: Es aquella información de EMEIS que se puede divulgar libremente tanto a nivel interno como a nivel externo. Está disponible para cualquier persona que la solicitara sin ningún tipo de restricciones.
  1. Medidas de seguridad 

EMEIS, una vez analizado el tipo de información y de datos que trata, con que finalidad lo hace y que tipo de acciones de tratamiento de datos lleva a cabo, determinará las medidas de seguridad. Es importante el hecho de que dichas medidas tomadas deben permitir quedar reflejadas, de manera que EMEIS pueda demostrar ante los interesados y autoridades de supervisión la adopción de las mismas. Por tanto, EMEIS debe tener una actitud consciente, diligente y proactiva frente al tratamiento de datos que se llevan a cabo.  

  • Medidas de seguridad informática

El Departamento de IT ha establecido una serie de reglas para garantir la seguridad de los sistemas y medios informáticos de EMEIS que todos deben cumplir. Algunas de ellas son: 

  • Queda estrictamente prohibido el uso de memorias o discos externos (USB) sin previa autorización.
  • Se exige la observancia de las licencias de software y se prohíbe el uso de software no autorizado.
  • Se ejecuta software antivirus con una frecuencia definida para comprobar si los ordenadores y medios presentan alguno de los virus conocidos.
  • Se revisan con regularidad el software y el contenido de datos de los sistemas y se investiga la existencia de archivos falsos o modificaciones no autorizadas.
  • Se deben someter a un análisis de virus todos los medios extraíbles (discos, CD, lápices de memoria, etc.) antes de utilizarlos.
  • Se debe informar de inmediato al soporte de IT de cualquier ataque de virus.
  • Se deberán tratar siempre como sospechosos los datos adjuntos e hiperenlaces, de cualquier naturaleza, de un correo electrónico. 
  • Se debe eliminar el correo sin abrir los datos adjuntos o el enlace, siempre que llegue un correo electrónico de parte de alguien a quien no se conoce.
  • Se debe llamar al remitente de un correo electrónico para confirmar el contenido de los datos adjuntos/enlaces antes de abrirlo, cuando éste nos llegue de un contacto profesional que habitualmente no envía datos adjuntos/enlaces o de quien no se esperaban datos adjuntos/enlaces.

Estas y otras medidas de obligado cumplimiento se recogen en la “POLÍTICA GENERAL DE IT Y SEGURIDAD DE MEDIOS INFORMÁTICOS”.

  • Medidas seguridad de los datos personales en soporte de papel
  • Los expedientes y carpetas deben estar archivados y organizados de forma que se garantice su correcta conservación, localización y consulta; 
  • Deben estar guardados en elementos o dispositivos (armarios, archivadores, etc.) con mecanismos que obstaculicen su apertura. 
  • Cuando no se encuentre archivada en los elementos antes mencionados, la persona que se encuentre al cargo custodiarlos e impedir en todo momento accesos no autorizados.
En EMEIS seguimos una Política de “Clean Screen & Desks” (Pantallas y Mesas Limpias); de forma que: Cada vez que abandonemos el ordenador, debemos proceder al bloqueo de la pantalla (presionando Ctr+l).Al acabar nuestra jornada, todos los documentos y expedientes deben estar debidamente archivados o guardados bajo llave, de forma que evitemos su pérdida o sustracción. 

DERECHOS RELATIVOS A LOS DATOS PERSONALES

El firme compromiso de EMEIS por salvaguardar los derechos de las personas sobre sus datos personales se recoge en el propio Código de Conducta, cuyo tercer principio establece que “todos los empleados y todos los residentes, pacientes y personas asistidas a domicilio y sus familias tiene derecho al respeto de su vida privada y sus datos personales. Así, el Grupo EMEIS se compromete a respetar estrictamente la legislación vigente en materia de protección de datos de carácter personal y garantizar a todos el derecho individual de control sobre dichos datos”.  

Los empleados, residentes, pacientes y todas las demás personas cuyos datos personales son tratados por EMEIS pueden ejercer sus derechos de acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

EMEIS dispone de un Procedimiento específico para dar curso a las solicitudes de derechos de protección de datos, SPGD- 02 Procedimiento de ejercicio de derechos.

Los derechos existentes en materia de protección de datos que pueden ser ejercidos ante el Responsable el tratamiento, son los siguientes:  

Derecho de acceso: El interesado tiene derecho a solicitar y obtener gratuitamente información de los datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. Se debe informar de: 

  1. La finalidad del tratamiento de sus datos;
  2. Las categorías (básicos, bancarios, salud…etc.);
  3. Los destinatarios a los que se va a comunicar;
  4. El plazo para conservarlos;
  5. Como solicitar al responsable el ejercicio de los derechos;
  6. El derecho a presentar una reclamación a la autoridad de control;
  7. Cualquier información sobre el origen de los datos;
  8. Transferencias internacionales;
  9. Los tratamientos y decisiones automatizadas sobre sus datos;

Derecho de rectificación: El interesado tiene derecho a obtener la rectificación de los datos personales que sean inexactos sin dilación indebida.

Derecho de oposición: El interesado tiene derecho a oponerse al tratamiento de sus datos en algunos supuestos tasados. 

Derecho de supresión: El interesado tiene derecho a la eliminación de los datos de carácter personal cuando concurra alguna de las circunstancias legalmente tasadas. 

Igualmente, todos los interesados podrán ejercitar sus derechos a la portabilidad de datos, limitación del tratamiento o a retirar el consentimiento previamente otorgado. 

Para el ejercicio de sus derechos, el interesado deberá dirigir un correo electrónico a dpo-es@emeis.com,   indicando el derecho que quiere ejercitar e identificándose inequívocamente mediante su DNI o documento similar válido en Derecho. En todos los casos, las solicitudes formuladas se archivarán con su fecha y copia de la contestación remitida al interesado. 

Si el interesado entiende que los tratamientos realizados no se ajustan a la legalidad o que su solicitud no ha sido debidamente atendida, puede presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) en los términos indicados por esta.

REGISTRO Y NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD 

Se entiende por incidencia todo hecho o circunstancia que, al producirse, genere, o pueda generar, cualquier tipo de riesgo o daño que afecte a la seguridad, confidencialidad o integridad de los datos personales tratados por EMEIS, como por ejemplo los hackeos, robos de información, envío indebido de datos personales a terceros, pérdida de datos personales, etc.

Debemos estar alerta a estos sucesos e informar de ellos lo antes posible. Cualquier empleado que tenga conocimiento de cualquier incidencia se responsabiliza directa y personalmente de notificarla sin demora al Delegado de Protección de Datos comunicándolo por escrito a la dirección dpo-es@emeis.com  y al Manager de IT. Se estará a lo dispuesto conforme a los mecanismos y procedimientos vigentes en cada momento. 

El DPD documentará cualquier violación de seguridad de los datos, incluidos los hechos relacionados con ella, sus efectos y las medidas de seguridad implementadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD.

En caso de violación de seguridad que afecte de forma grave a los derechos y libertades de los interesados, el DPO notificará a la autoridad de control competente, sin dilación indebida, con un máximo de 72 horas. La comunicación a los afectados debe ser clara y sencilla.

CONTROLES PERIÓDICOS Y AUDITORÍA

Para la correcta verificación del cumplimiento de las medidas, normas y procedimientos establecidos en esta Política, de tal forma que pueda detectarse cualquier anomalía que afecte a la seguridad, integridad o disponibilidad de los datos personales contenidos en los ficheros, se realizarán, controles puntuales marcados por la necesidad de cada momento, por decisión del DPD, o por solicitud de la Autoridad de control. 

FORMACIÓN Y PUESTA EN CONOCIMIENTO

Esta política, y cualesquiera otras en materia de protección de datos, es accesible al personal y se entregará una copia de la misma, en los extremos que le conciernan, a todo usuario que lo solicite. 

El personal debe estar sensibilizado en esta materia mediante información, comunicados internos o por formación específica.

El incumplimiento de las obligaciones en materia de protección de datos podrá considerarse como un quebranto de la buena fe contractual. Si el incumplimiento tuviera carácter doloso, se emprenderán las acciones legales correspondientes para la debida depuración de responsabilidades.

ACTUALIZACIÓN Y REVISIÓN

Esta Política deberá mantenerse permanentemente actualizada, así como los procedimientos que en ella se describen. Cualquier modificación relevante en los sistemas de información, automatizados o no, en la organización de los mismos o en las disposiciones vigentes de protección de datos, directrices, informes jurídicos de la AEPD, conllevará la revisión y, si procede, la modificación y actualización parcial o total. 

En caso de no ser necesarias las revisiones en el sentido anterior, la revisión se hará con una periodicidad que asegure que se mantienen actualizada, que será mínimo bianual. 

Se dejará constancia de la revisión en la parte de revisiones al final del documento. 

Versión Enero 2025

FORMACIÓN

Anexo I: Sociedades vinculadas a EMEIS 

NombreDirecciónCPCiudadPaís
EMEIS IBERIA, S.A.U.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
RESIDENCIAL SENIOR 2000, S.L.UPaseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
CM CARE EXTREMADURA DOS 2002, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ARTEVIDA CENTROS RESIDENCIALES S.A.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
CENTROS RESIDENCIALES ESTREMERA S.A.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
EXPLOTACIÓN DE REAL SITIO DE SAN FERNANDO, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
RESIDENCIA CIUTAT DIAGONAL ESPLUGUES, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
RESIDENCIA REYES DE ARAGÓN, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
SANYRES SUR, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
INSTITUTO DE INVESTIGACIONES NEUROPSIQUIATRICAS DR. LOPEZ IBOR, S.A.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ECOPLAR SAPaseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ATIRUAL INMOBILIARIA SLPaseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
UNION SANYRES S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
EMEIS LOPEZ-IBOR SALUD MENTAL, S.L.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
EMEIS LATAM SAPaseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
GESECOPLAR S.A.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ECOPLAR SERRANILLOS S.A.Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ECOPLAR CANTABRIA, SLPaseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
ECOPLAR GRANADA, S.A.U. Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
      ACACIAS LOGROÑO, S.L.U. Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA
CENTRO LESCER, S.L.U. Paseo General Martínez Campos 46 7ª planta28010MADRIDESPAÑA