1. Introducción
1.1. Declaraciones generales
Como organización es necesario el procesamiento de datos personales relevantes de nuestros
miembros, voluntarios, alumni y clientes como parte de nuestras operaciones, es por eso que se
toman las medidas pertinentes para hacerlo de acuerdo a la política que se expone en este Anexo.
Todos los datos personales son procesados legalmente en concordancia con los requerimientos de la
Regulación General de Protección de Datos (Reglamento (EU) 2016/679) y cumpliendo las leyes
locales y nacionales relativas a la privacidad y tratamiento de datos.
Por datos personales se entiende cualquier información relativa al individuo identificado o
identificable, como pueden ser miembros, voluntarios, aplicantes, alumni, clientes o cualquier otro
sujeto con el que la organización se relaciona. Se consideran los datos personales como información
importante y, por ello, se deben tratar con respeto con el propósito de prevenir incidentes. Por este
motivo, cumplimos las leyes existentes relativas a la recolección, tratamiento y disposición de datos
personales, así como estas políticas para gestionar los datos personales.
Por último, la organización respeta la confidencialidad de los datos personales, por ello
establece la imposibilidad de utilizar/divulgar de forma inapropiada la información y/o ser utilizada
por alguien no autorizado; y se compromete a proteger y respetar la privacidad de las partes
interesadas debido a la confianza que ponen en nuestra organización para utilizar sus datos
personales de forma apropiada y responsable.
1.2. Acerca de esta política
Las bases que regulan el tratamiento de recolección y cualquier actividad de procesamiento de
datos llevado a cabo por AIESEC como organización serán esta política y cualquier otro documento
referido a la protección de datos.
Teniendo en consideración que esta política no forma parte del acuerdo/contrato firmado por
los miembros de la organización, puede ser enmendada en cualquier momento y sus disposiciones
deben ser respetadas por todas las personas que participan en actividades de procesamiento de
datos personales.
Toda persona que trabaje en representación de AIESEC en España y de sus comités locales,
como director, miembro, o tercera parte, debe ser consciente de esta política y seguirla en todo
momento.
El Oficial de protección de datos es el responsable de asegurar el cumplimiento de los
requerimientos de protección de datos de esta política (para más información, acudir al punto 5.
“Oficial de protección de datos”). Por tanto, cualquier pregunta acerca de esta política y su gestión
y/o preocupación o sospecha de que no se está cumpliendo, debe ser informada al Oficial de
protección de datos o reportada conforme al procedimiento de denuncia de irregularidades que se
hace vía correo electrónico dpo@aiesec.es.
1.3. Principales definiciones
El vocabulario y las expresiones utilizadas y mencionadas en esta política son las provistas en la
Regulación General de Protección de datos (Regulación (EU) 2016/679) y las leyes
correspondientes, por lo que tienen el mismo significado dado en estas legislaciones mencionadas.
Para un entendimiento básico de esta política, los principales conceptos son:
● Datos personales (ya sean almacenados en formato electrónico o físico): cualquier
información relacionada con una persona natural identificada o identificable (“sujeto de
datos”).
Una persona natural identificable es alguien que puede ser identificado, directa o
indirectamente, haciendo referencia a algún identificador como nombre, número de
identificación, datos de localización, identificador online o cualquier otro.
● Procesar: cualquier operación o conjunto de operaciones que son llevadas a cabo en datos
personales, por medios automáticos o cualquier otro medio, como pueden ser la recolección,
grabación, organización, estructuración, almacenamiento, adaptación o alteración,
recuperación, consulta, uso, divulgación por transmisión, diseminación u otra forma de
difusión, alineación o combinación, restricción, borrado o destrucción.
● Categorías especiales de datos personales: expresión referida a categorías sensibles de datos
personales, como las relativas al origen étnico/racial de la persona, opiniones políticas,
creencias religiosas y/o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos,
datos relacionados a la salud, orientación sexual o vida sexual. En general, está prohibido
procesar datos personales sensibles, salvo en los casos estrictamente necesarios en los que
ciertas condiciones específicas deben ser probadas.
Además existen categorías especiales de datos especiales, como antecedentes penales, cuyo
procesamiento está sujeto a requerimientos aún más estrictos.
Asimismo, conviene identificar a los distintos actores responsables de la correcta gestión y
cumplimiento de la protección de datos personales:
● Delegado de Protección de Datos (Data Protection Officer o DPO): el máximo responsable del
cumplimiento de la regulación a nivel nacional.
● Responsable de protección de datos a nivel local: los Presidentes de comités locales serán los
responsables, a este nivel, para hacer cumplir esta política de protección de datos.
● Controlador de datos: cualquier persona parte de la organización que utilice datos personales
para tareas específicamente concretadas, y responda ante las solicitudes de los sujetos de
datos.
2. Principios para el procesamiento de datos
Cualquier persona que procese datos personales debe asegurar que las actividades previstas
según lo establecido en la Regulación General de Protección de Datos (Reglamento (EU) 2016/679)
garantizan que los datos personales son:
● Procesados legalmente, justamente y de forma transparente en relación al sujeto de datos.
● Procesados con propósitos específicos, explícitos y legítimos, y no para futuros
procesamientos incompatibles con los propósitos originales.
● Adecuados, relevantes y limitados a lo necesario, en relación con los motivos por los cuales
son procesados (“minimización de datos”).
● Precisos y, cuando sea necesario, actualizados.
● Se mantienen el tiempo justo y necesario para cumplir los motivos originales.
● Procesados de manera que se garantice la seguridad de los datos personales, incluyendo
protección en contra del procesamiento injusto o no autorizado, contra la pérdida,
destrucción o daño accidental; utilizando medidas organizacionales y técnicas apropiadas.
Finalmente, para demostrar el cumplimiento de todos los principios mencionados
anteriormente y, así también, respetar los derechos de los sujetos de datos, se mantiene un registro
de las actividades de procesamiento de datos, que debe ser actualizado y regularizado en la forma de
uso de datos personales periódicamente.
2.1. Legalidad, justicia y transparencia
El procesamiento debe ser llevado a cabo de forma justa y sin efectos adversos en los derechos
de los individuos. En concordancia con la Regulación General de Protección de Datos (RGDP)
(Regulación (EU) 2016/679), únicamente procesaremos datos personales cuando esté permitido por
el marco ley que, según las previsiones del artículo 6.1 de dicha ley, son:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios
fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para
la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable
del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero,siempre que sobre dichosintereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado que requieran la protección de
datos personales, en particular cuando el interesado sea un niño.
Para el procesamiento de datos personales sensibles, se deben cumplir unas condiciones
especiales adicionales.
Además, todas las actividades de procesamiento deben ser registradas apropiadamente y
serán de uso exclusivo para nuestros usuarios.
2.1.1. Consentimiento
Cuando el consentimiento sea la base legal para el procesamiento de datos, este debe ser:
● Registrado, pudiendo demostrar que el sujeto ha dado su consentimiento para el
procesamiento de sus datos personales.
● Dado de forma libre, específica, explícita, informada e inequívocamente.
Si el consentimiento se otorga en el contexto de una declaración escrita que también
concierne a otros asuntos, la solicitud de consentimiento se debe presentar de forma
claramente distinguible del resto de asuntos, siendo inteligible y de fácil acceso y utilizando
un lenguaje claro y comprensible para el sujeto de datos.
● Fácilmente revocable en cualquier momento.
Si se envían comunicaciones (inclusive marketing directo) con base en el consentimiento, se
debe disponer de la opción de revocar el consentimiento de forma clara. En caso de revocación, el
sistema utilizado debe reflejarla de forma efectiva.
2.2. Limitación de propósito
Se podrán recolectar y procesar datos personales que se reciban directamente del sujeto de
datos, vía email, teléfono o correo convencional, entre otras opciones; y los datos obtenidos por
otras fuentes, incluyendo, por ejemplo, ubicación, socios de negocios, uso de servicios varios y otros.
Solo se procesarán datos con propósitos concretos o cualquier otro motivo específicamente
permitido en las leyes de protección de datos. Se deben notificar los propósitos del procesamiento al
sujeto de datos antes de recolectar los datos, en caso de que hayan sido dados directamente, o lo
más pronto posible luego, en caso de que sean provistos por terceros.
2.2.1. Información a individuos
Se informará al sujeto de datos, cuando se procesen datos personales, de:
● El propósito(s) por el cual se procesarán sus datos personales, así como las bases legales del
procesamiento.
● Los intereses legítimos perseguidos, cuando se dependa de los intereses legítimos de la
empresa para procesar datos personales.
● El destinatario(s) o categorías de destinatarios de los datos personales, si los hubiera.
● La pretensión de transferencia de datos personales a un país u organización internacional
externa a la Unión Europea/Espacio Económico Europeo, y los adecuados y apropiados
salvaguardas.
● La existencia y explicación de todos los derechos del sujeto de datos, prestando especial
atención a:
○ Derecho de requerir, al controlador de datos, acceso, rectificación o eliminación de
datos o restricción de procesamiento.
○ Derecho a objetar el procesamiento y a la portabilidad de datos.
● El período en que la información será almacenada y/o el criterio utilizado para determinar
dicho período.
● El derecho a retirar el consentimiento en cualquier momento, si el consentimiento fue dado,
sin afectar la legalidad del procesamiento antes de que el mismo haya sido retirado. Este
derecho debe ser informado en el momento en el que el consentimiento es dado y/o en el
correspondiente aviso de privacidad.
● El derecho a presentar una queja al Delegado de Protección de Datos vía email:
dpo@aiesec.es.
● La existencia de toma de decisiones automatizada (incluida la elaboración de perfiles) y de
información significativa sobre la lógica involucrada, así como la importancia y las
consecuencias previstas de dicho procesamiento.
● Nuestra identidad y detalles de contacto del Delegado de Tratamiento de Datos y, si es
necesario, de nuestro representante legal.
El sujeto de datos debe ser capaz de entender cómo ejercer sus derechos. Para esto, y para
detallar la información que posibilita el refuerzo de sus derechos, se debe tener a disposición y
fácilmente accesible y visible el aviso de cesión o privacidad.
Con respecto a las fechas límite para proveer dicha información, es importante considerar la
fuente de datos y recordar que:
● Si los datos personales fueron obtenidos directamente del individuo, se debe informar acerca
de los puntos mencionados anteriormente en el momento en que los datos son obtenidos.
Además de eso, si la provisión de los datos personales es un requisito/obligación legal o
contractual, o un requisito necesario para celebrar un contrato, es decir, si la persona está
obligada a proporcionar los datos personales, informar de las posibles consecuencias de no
proporcionar los datos.
● Si los datos personales fueron obtenidos a través de terceros, se debe proveer al sujeto de
datos con esta información lo antes posible, con un plazo máximo de un mes desde que se
obtuvo. El sujeto de datos será provisto también de:
○ El tipo o categorías de datos personales que serán procesados.
○ La fuente de la cual se originan los datos personales y, si provino de fuentes de acceso
público.
2.3. Uso mínimo de datos
El procesamiento de datos debe realizarse de forma adecuada, relevante y no excesiva. Solo se
solicitarán los datos personales que sean requeridos para los propósitos específicos previamente
notificados al sujeto de datos.
2.4. Exactitud
Se debe asegurar que los datos personales almacenados son exactos y están actualizados. Para
poder cumplir con este principio, se debe comprobar la exactitud de cualquier dato personal en el
momento de la obtención y en intervalos de tiempo regulares posteriormente, tomando las medidas
necesarias y razonables para eliminar o corregir datos incorrectos o desactualizados, dando al al
sujeto de datos la oportunidad de reforzar el derecho a rectificar sus datos pertinentes.
2.5. Limitación de almacenamiento
No se almacenarán datos por más tiempo del necesario para el propósito por el que fueron
recolectados. Se ejecutarán las medidas pertinentes para borrar/anonimizar o archivar toda
información que no sea necesaria, siguiendo las correspondientes políticas internas de retención.
2.6. Integridad y confidencialidad
Los datos personales se procesarán de acuerdo a los derechos del sujeto de datos de forma que
se garantice la seguridad, integridad y confidencialidad; incluyendo la protección en contra del
procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño, usando medidas
técnicas y organizacionales apropiadas.
Los datos personales no se transferirán a personas u organizaciones situadas en países sin
garantías de protección adecuadas o en situaciones que no cumplan las circunstancias apropiadas
mencionadas en los artículos 44 a 49 del Reglamento General de Protección de Datos (RGDP)
(Reglamento (eu) 2016 / 679).
En caso de producirse una transferencia de información, el sujeto de datos debe estar
informado de tal acción.
2.6.1. Seguridad de datos
Se tomarán las medidas de seguridad apropiadas en contra del procesamiento de datos ilegal o
no autorizado y en contra de la destrucción, daño, pérdida, alteración ilegal o accidental, difusión no
autorizada o acceso a datos personales transmitidos, almacenados o procesados de otra manera.
Se llevarán a cabo los mecanismos técnicos y organizacionales necesarios para mantener la
seguridad de los datos personales almacenados bajo nuestra responsabilidad durante todo el flujo
del procesamiento. Los datos personales serán transferidos a procesadores de datos únicamente si
estos aceptan cumplir con los procesos y políticas establecidas y/o si establecen las medidas
adecuadas de protección.
Las actividades de procesamiento se regirán por los conceptos de confidencialidad e integridad
de los datos personales.
● Confidencialidad: aplicando las medidas que garanticen la protección de datos ante la difusión
accidental o no autorizada y únicamente accesible a las personas autorizadas para el uso de
estos datos, y necesarias para el cumplimiento del propósito del procesamiento de datos.
● Integridad: aplicando las medidas que garanticen la protección de datos ante la pérdida,
destrucción o alteración no autorizada o accidental, asegurando el uso de la información
necesaria para los propósitos del procesamiento.
Nuestros procedimientos de seguridad incluyen:
● Espacios de trabajo en la nube que garantizan la adecuada seguridad de datos según la
legislación vigente y siguiendo las directrices de la Agencia de Protección de Datos. La
información personal es considerada confidencial y debe ser guardada en un lugar seguro sin
acceso para personas no autorizadas.
● Minimización de datos, solicitando los datos estrictamente necesarios para el propósito
especificado.
● Políticas y guías internas que especifican los principios y derechos en el desarrollo de futuros
proyectos y en la evaluación de prácticas actuales.
● Equipamiento en seguridad, realizando backups regularmente, instalando softwares
anti-virus en las plataformas y dispositivos e insertando contraseñas en cada plataforma,
sistema o dispositivo.
Además, la membresía debe asegurar que la información confidencial no es compartida o
mostrada a personas ajenas a la organización y que siempre se apagarán los sistemas y
dispositivos que no están siendo utilizados.
● Uso de softwares seguros y modernos, actualizados.
● Revisión y actualización de los datos desactualizados.
● Almacenamiento de datos en los lugares estrictamente necesarios, sin crear conjuntos de
datos adicionales innecesarios.
● Métodos de eliminación, enfocados en cómo destruir documentos y/o anonimizar/borrar
datos virtuales cuando sea necesario destruirlos.
Nuestro staff debe también prestar atención a las siguientes indicaciones:
● Las únicas personas con autorización para acceder a estos datos serán aquellas que los
necesiten para su trabajo y para el cumplimiento de los propósitos del procesamiento de
datos, previamente informado el sujeto de datos.
● Los datos no deben ser compartidos, formal o informalmente, a individuos de fuera de la
organización y/o del flujo de la experiencia.
● Nuestro staff debe participar en entrenamientos/actividades de acuerdo a la protección de
datos, leer los materiales apropiados y conocer las leyes correspondientes.
● La membresía, así como cualquier persona que haga uso de estos datos, debe mantener los
datos seguros, tomando las precauciones correspondientes. Se recomienda:
○ El uso de contraseñas fuertes en sistemas, plataformas y dispositivos.
○ No compartir contraseñas.
○ Nunca difundir datos personales a individuos o entes no autorizados.
○ Nunca dejar datos personales desatendidos y/o accesibles a personas no autorizadas.
○ Utilizar sistemas/plataformas/servicios apropiados y dispositivos seguros.
○ Solicitar ayuda a los superiores pertinentes y/o al responsable de tratamiento de
datos en caso de dudas o preguntas sobre cualquier aspecto de la protección de
datos.
2.6.2. Transferencia de datos
Como regla general, los datos personales podrán ser transferidos fuera de la Unión
Europea/Espacio Económico Europeo o a alguna organización internacional, sólo si el país al cual los
datos personales se transfieren asegura un adecuado nivel de protección de los derechos y
libertades del sujeto de datos.
Los datos personales también pueden transferirse en función de las salvaguardas adecuadas, o
en caso de que se cumpla una de las excepciones del artículo 49 (1) del Reglamento General de
protección de datos (RGPD) (Reglamento (EU) 2016/679):
● El sujeto de datos de explícitamente su consentimiento a la transferencia propuesta, tras
haber sido informado de los posibles riesgos para él de dichas transferencias debido a la
ausencia de una decisión de adecuación y de garantías adecuadas.
● La transferencia sea necesaria para la ejecución de un contrato entre el sujeto de datos y el
responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a
solicitud del interesado.
● La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del
sujeto de datos, entre el controlador y otra persona física o jurídica.
● La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras
personas.
● La transferencia es legalmente requerida por motivos de interés público o para el
establecimiento, ejercicio o defensa de demandas legales.
Sujeto a los requerimientos anteriormente mencionados, los datos personales pueden ser
procesados por personal de la organización operando fuera de la Unión Europea/Espacio Económico
Europeo. Estas personas estarán involucradas, entre otras cosas, en el cumplimiento de contratos
con el sujeto de datos, la provisión de servicios de soporte, etc.
2.6.3. Divulgación de datos personales
Los datos personales no serán transferidos a individuos y/o organizaciones que no formen
parte de los proveedores de la experiencia. Internamente, los datos podrán ser procesados por
individuos que actúan en nombre de AIESEC en España y sus respectivos Comités Locales.
Los datos personales podrán ser transferidos a las agencias apropiadas en función de la ley,
considerando la legitimidad de dicha transferencia y el asesoramiento legal adecuado, siempre que
sea necesario.
3. Derechos del sujeto de datos
Cualquier persona que procesa datos personales debe asegurar que las actividades de
procesamiento respetan las provisiones de la Regulación General de Protección de Datos (RGPD)
(Regulación (EU) 2016/679), garantizando el respeto a los derechos del sujeto de datos. En
particular.
● Derecho a ser informado, recibiendo los detalles apropiados de cómo serán procesados los
datos (para más información, acudir al punto 2.2.1. “Información a individuos”).
● Derecho a acceder, pudiendo recibir confirmación sobre si los datos personales se están
procesando o no y acceder a los datos que el controlador tiene sobre él, siguiendo las
provisiones del artículo 15 de la Regulación General de Protección de Datos (GRDP)
(Regulación (EU) 2016/679).
● Derecho a requerir rectificación o modificación de los datos que le conciernen.
● Derecho a objetar, expresando su no aceptación del procesamiento de datos y solicitando al
controlador no procesar más sus datos.
El derecho se aplica al marketing directo de forma absoluta, lo que significa que, ante esta
petición, no se debe objetar la decisión del individuo y se debe detener el procesamiento de
forma inmediata.
● Derecho a eliminar sus datos, requiriendo la eliminación de sus datos personales cuando no
haya motivo razonable para que el procesamiento continúe.
Este derecho está sujeto a circunstancias específicas, mencionadas en los artículos 17 y 19
de la Regulación General de Protección de Datos (RGPD) (Regulación (EU)2016/679).
● Derecho a restricción de procesamiento, obligando al controlador de datos a suspender o
pausar el procesamiento de datos, ya sea a petición del sujeto de datos o por una situación
que lo demande.
● Derecho a portabilidad de datos, siendo capaces de transferir los datos en manos del
controlador a otro sistema.
● Derechos acerca de la toma de decisiones automatizada, incluyendo:
○ El derecho primario de no ser sujeto de actividades solo basadas en procesos de
decisiones automatizadas que tengan un efecto legal o relevante en el sujeto.
○ Los derechos secundarios: cualquier decisión que sea a posteriori será comunicada al
sujeto de datos.
● Derecho a compensación y responsabilidad, así como el derecho a presentar una queja a la
autoridad supervisora.
Siempre se debe informar a los sujetos de datos y, para reforzar sus derechos sobre su
procesamiento de datos personales, cualquier sujeto que desee acceder a su información podrá
solicitarlo vía email al correo dpo@aiesec.es adjuntando su DNI de forma visible para identificarse.
Los datos personales deben ser fácilmente accesibles al staff de nuestra organización y, en lo
posible, los sujetos de datos deben tener acceso a sus datos a través de una vía segura de
autoservicio (para más información, acudir al punto 4. “Petición de acceso delsujeto”).
4. Solicitudes de acceso de sujetos externos
Los sujetos de datos pueden enviar una solicitud para obtener información sobre el existencia
de sus datos personales en nuestro almacenamiento, el tipo de datos, el motivo de la tenencia, los
procesos para obtener acceso a esa información, para corregirla o actualizarla, y el procesamiento de
los datos y su protección, entre otros (para más información, acudir al punto 3. “Derechos de los
sujetos de datos”). En el caso de que cualquier persona dentro de la organización reciba una solicitud,
la misma debe ser reenviada a dpo@aiesec.es inmediatamente.
Los sujetos de datos deben ser informados de sus derechos y, para ejercerlos, deben dirigir su
solicitud a dpo@aiesec.es adjuntando copia legible de su DNI.
Se deben tomar las medidas razonables para verificar la identidad del individuo quien requiere
los datos. La información personal debe ser enviada únicamente a los individuos a quienes le
pertenece, y es necesario asegurar que la información se proporciona a la persona correcta.
Cada solicitud enviada por escrito debe ser respondida dentro del plazo de un mes y, si la
solicitud es hecha electrónicamente, los datos deben ser provistos electrónicamente, en los casos
que sea posible. En el caso de una situación complicada, el Delegado de Tratamiento de Datos deberá
ser contactado.
Se debe proveer al sujeto de datos con una solicitud estándar, sin embargo, no están obligados
por ley a utilizarlos. Todas las solicitudes por escrito deben ser atendidas de la forma correcta.
4.1. Guía para el responsable de solicitudes de acceso
Lo establecido en el artículo 15 de la Regulación General de Protección de Datos (RGPD)
(Regulación (EU) 2016/679) debe ser leído y ejecutado. Además, las guías a continuación serán de
utilidad para actuar respecto a las solicitudes de acceso de sujetos de datos.
4.1.1. Proceso al recibir una solicitud de acceso
Al recibir una solicitud de acceso de un sujeto de datos, se debe proceder de la siguiente
manera:
● Confirmar si la persona de la organización que recibe la solicitud tiene potestad para
contestarla. En caso de no tenerla, se debe enviar a la persona competente.
● Verificar la identidad del sujeto de datos. Si es necesario, solicitar evidencia extra acerca de la
identidad de este.
● Verificar que las solicitudes no sean infundadas o excesivas (particularmente si son
repetitivas). Si lo son, se debe negar el procesamiento de la solicitud. En este caso, se asume
la carga de demostrar el carácter infundado o excesivo de la solicitud.
● Dar acuse de recibo de la solicitud con prontitud e informar al sujeto de datos sobre posibles
costos relacionados al procesamiento de la solicitud. Como regla general, la solicitud debe
ser llevada a cabo de forma gratuita.
● Verificar el procesamiento de datos requeridos. Si no han sido procesados, informar al sujeto
en consecuencia.
● Verificar si los datos solicitados también involucran datos de otros sujetos y asegurar de
filtrar estos datos antes de proveer información al sujeto de datos.
4.1.2. Procedimientos para responder a una solicitud de acceso
Para responder a una solicitud de acceso, se deben seguir los siguientes indicaciones:
● Asegurar respuesta a la solicitud dentro del mes en el que ha sido recibida:
○ Si la solicitud es particularmente compleja, se podrá extender el período inicial hasta
dos meses extra, comunicándolo al sujeto de datos dentro del primer mes y
explicando el motivo de la extensión.
○ Si no se toma acción frente a la solicitud del sujeto de datos, se debe informar al
sujeto acerca de las razones por las que no se ha tomado acción ante su derecho de
presentar quejas/buscar una solución por vías judiciales dentro del mes en el que ha
sido recibida.
● Si una solicitud es enviada en formato electrónico, la información será preferentemente
proveída también en formato electrónico (por ejemplo: texto o HTML). No está prohibido
enviar información vía email pero se debe asegurar la seguridad de la transferencia.
● Si la información de los datos se realiza en papel, se podrá entregar al sujeto de datos una
copia de este documento.
● Si los datos del sujeto de datos son procesados, asegurar la inclusión de, al menos, la
siguiente información:
○ Los propósitos del procesamiento.
○ Las categorías de datos personales en cuestión.
○ Los destinatarios o categoría de destinatarios a quienes los datos fueron
comunicados, en particular a otros países u organizaciones internacionales,
incluyendo cualquier salvaguarda apropiada para la transferencia de datos.
○ De ser posible, el tiempo previsto por el cual la información personal será
almacenada, o, si no es posible, el criterio utilizado para determinar ese período.
○ La existencia del derecho a requerir rectificación o eliminación de la información
personal o restricción de procesamiento de datos personales referidos al sujeto de
datos o al objeto de dicho procesamiento.
○ El derecho a reclamar a la autoridad supervisora.
○ La existencia de cualquier decisión automatizada (incluyendo profiling) y cualquier
otra información significativa acerca de la lógica involucrada, así como el significado
de las consecuencias previstas de dicho procesamiento de datos.
El profiling o elaboración de perfiles se trata de un tratamiento automatizado de datos
personales que implica el uso de esos datos para la evaluación de ciertos aspectos de
la persona en cuestión (interesado), y analizar o predecir sus intereses,
comportamiento y otros atributos. Para más información consultar el artículo 4.4
RGPD, en el que se determina el concepto oficial.
● Proporcionar una copia de los datos personales en tramitación. Se debe proporcionar en un
formato electrónico de uso común si el interesado ha enviado la solicitud de manera
electrónica y si no solicita lo contrario.
5. Reporte a la plenaria
El Delegado de Protección de Datos (Data Protection Officer o DPO), designado al comienzo
de la gestión del equipo ejecutivo nacional de AIESEC España, debe presentar de forma obligatoria
un reporte semestral a la junta directiva nacional de presidentes de AIESEC en España informando lo
siguiente:
● Número de personas que escribieron a dpo@aiesec.es para solicitar la eliminación de sus
datos en nuestras plataformas.
● Retiro de acceso de alumnis y miembros que abandonaron su cargo a nuestras plataformas
para minimizar el acceso a información de nuestros clientes.
● Reportar cualquier tipo de modificación en los procesos de recolección y/o manipulación de
datos.
● Inclusión de privacy notes en cada uno de los formularios de registro de las cuatro
conferencias nacionales.
● Reportar si durante los pasados seis meses hubo algún caso de violación de seguridad o fuga
de datos incluyendo el plan de contingencia implementado.
En caso de no presentar dicho reporte cualquiera de los miembros de la junta directiva
nacional de presidentes de AIESEC en España tiene el derecho y la responsabilidad de exigir dicho
reporte para garantizar el cumplimiento de la normativa internacional. Si el reporte no se entrega
como máximo dos semanas después de ser requerido, el Delegado de Protección de Datos entrará
automáticamente en periodo de prueba.
6. Oficial de protección de datos
El oficial de protección de datos será el director de operaciones, que debe garantizar el
procesamiento de todos los datos personales de conformidad con esta política y con los principios de
la Regulación General de Protección de Datos (Reglamento (EU) 2016/679), así como las leyes
nacionales relevantes.
7. Participación en protección de datos
Cualquier persona relacionada con la Entidad, que trabaje para ella o con ella, tiene la
responsabilidad de garantizar la correcta recopilación, almacenamiento y manejo de datos. Por
tanto, los equipos que manejen datos personales deben asegurarse de procesar estos de acuerdo
con esta política, los principios de protección de datos, la Regulación General de Protección de Datos
(Reglamento (EU) 2016/679) y las leyes nacionales correspondientes.
8. Violaciones de datos
En el caso de una violación en la seguridad de los datos que conduzca a la destrucción, pérdida,
alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilegal, se
evaluará sin demora los riesgos acaecidos a los derechos y libertades de las personas. Si es necesario,
la violación se informará a la autoridad de supervisión correspondiente y, si es necesario, se
comunicará a las personas afectadas por el incidente.
Para más información, consulte nuestro procedimiento de gestión de violación de datos y las
plantillas apropiadas.
9. Aviso
Esta política, para su uso, debe acompañarse de otros documentos mencionados a
continuación:
● Reglamento general de protección de datos (GDPR) o Reglamento (UE) 2016/679 –
oficialmente “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, sobre la protección de las personasfísicas con respecto al procesamiento de datos personales
y sobre la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46 / CE
(Reglamento general de protección de datos)”.
● Procedimiento de gestión de violación de datos.
● Políticas internas de retención.
● Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
10. Alteraciones de esta política
Se reserva el derecho de cambiar esta política en cualquier momento. Cuando se considere
apropiado, se notificarán los cambios vía correo postal o electrónico