I. INTRODUCCIÓN
Groupe Seb Ibérica S.A. (en adelante, "SEB" o la "Compañía", indistintamente) es una compañía de comercialización y distribución en España de pequeño electrodomésticos (PAE) y menaje para el hogar y cocina. Como parte de su actividad, SEB es responsable del tratamiento sobre ciertos datos de carácter personal.
Entre los principios contemplados en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, "Reglamento General de Protección de Datos" o "RGPD", indistintamente) se encuentra el de limitación del plazo de conservación, en virtud del cual los datos personales han de ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
Como consecuencia de dicho principio, SEB está obligada a delimitar los periodos de conservación de los datos de carácter personal, y a borrar y/o eliminar los datos cuando éstos hayan dejado de ser útiles para la finalidad para la cual fueron inicialmente recabados.
Se elabora en consecuencia el presente protocolo de conservación y borrado de datos (“Protocolo”) al objeto de documentar los periodos de conservación de los datos de carácter personal, y la obligación de borrar y/o eliminar los datos cuando hayan dejado de ser útiles para la finalidad para la cual fueron inicialmente recabados.
II. ÁMBITO DE APLICACIÓN
Este Protocolo será de aplicación a todas las personas que tengan acceso a los datos de los ficheros controlados por SEB, bien a través del sistema informático habilitado para acceder a los mismos, o bien a través de cualquier otro medio de acceso a los ficheros. Todos ellos están obligados a cumplir lo establecido en el presente Protocolo, y están sujetos a las consecuencias que pudieran incurrir en caso de incumplimiento.
III. PROCEDIMIENTO
En virtud del principio de limitación del plazo de conservación de los datos establecido en el RGPD, los datos personales han de conservarse durante el tiempo necesario para la satisfacción de las finalidades para los cuales fueron recogidos. Una vez terminada dicha finalidad, los datos de carácter personal han de ser eliminados de los sistemas informáticos y no automatizados de la Compañía.
Los datos serán conservados durante los plazos que se indican en el Anexo 1.
Sin embargo, hemos de tener presente la posibilidad de mantener los datos bloqueados una vez terminada la finalidad para la que fueron recogidos, durante los plazos de prescripción aplicables.
El bloqueo de datos permite la conservación de los datos únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplidos estos plazos, la Compañía deberá procederse a la supresión de los datos personales. Es decir, el bloqueo de datos es una excepción al borrado físico o supresión de los mismos.
En cuanto al modo de llevar a cabo el bloqueo, se deberá efectuar de forma tal que no sea posible el acceso a los datos por parte del personal de la Compañía que tuviera habitualmente tal acceso, limitándose el acceso a una persona con la máxima responsabilidad (en este caso, el Delegado de Protección de Datos) y siempre en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto.
De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedará enteramente restringido al Delegado de Protección de Datos de la Compañía, quien, transcurridos los plazos de conservación abajo establecidos, deberá almacenar bloqueados los datos automatizados en un fichero cifrado al que solamente él tenga acceso. Con respecto a los datos no automatizados, procederá a su archivo en un armario del que solo él tenga la llave.
Cuando el Departamento Legal le comunique la recepción de un requerimiento judicial y/o administrativo, procederá al desbloqueo de los datos personales pertinentes. Dicha comunicación habrá de realizarse necesariamente por e-mail, identificando qué datos personales deben ser desbloqueados.
El bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como durante el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia fiscal.
Una vez transcurridos los plazos de prescripción durante los cuales los datos personales han de permanecer bloqueados, y siempre que la Compañía no haya recibido un requerimiento judicial y/o administrativo que hubiera dado lugar al desbloqueo de los datos, el Delegado de Protección de Datos procederá al borrado y supresión de los datos personales automatizados pertinentes, y a la eliminación y/o destrucción de cualesquiera soportes físicos que contengan datos personales tratados de forma no automatizada. A estos efectos, el Delegado de Protección de Datos mantendrá un registro de los borrados y/o destrucción de datos de carácter personal en su equipo informático.
ANEXO 1
En la siguiente tabla se han incluido los periodos de conservación y de bloqueo de los datos de carácter personales, teniendo en cuenta (i) la categoría de los afectados titulares de dichos datos y (ii) la finalidad para la cual fueron obtenidos los datos.
| Categorías de afectados | Finalidad para la que fueron obtenidos | Periodo de conservación | Periodo de bloqueo | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Empleados |
|
|
|
|||||||||||||||
| Clientes/Proveedores | Gestión de la relación laboral | Durante toda la relación laboral | 6 años | |||||||||||||||
| Consumidores |
|
|
|
|||||||||||||||
| Usuarios de las web |
|
|
|
|||||||||||||||
| Candidatos |
|
|
|