Aviso legal, de privacidad y cookies

Actualizada el 19/02/2024

Fundación Orbayu es titular de las aplicaciones y los sitios web de Fundación Orbayu.

Fundación Orbayu

Denominación: Fundación Orbayu

NIF: G85778637

Domicilio: Calle Balbina Valverde, 5, 28002 Madrid, España

Dirección de correo electrónico: info@orbayu.org

Teléfono: (+34) 91 452 41 00

Datos registrales: Registro de Fundaciones de competencia estatal, registro 1178.

2. Aviso de protección de datos y cookies de Fundación Orbayu

En esta sección, te ofrecemos información sobre la forma en que en Fundación Orbayu protegemos tus datos.

2.1 Información general sobre protección de datos personales

Para ejercitar tus derechos de protección de datos, dirígete a Fundación Orbayu escribiendo a secretaria.tecnica@orbayu.org o a cualquiera de las direcciones expuestas en el aviso legal de esta web.

Si deseas dejar de recibir comunicaciones por email, podrás darte de baja a través del enlace que se te ofrecerá en cada uno de los emails que recibas de Fundación Orbayu.

Los principales derechos que puedes ejercitar son:

Derecho a solicitar el acceso a los datos personales: Te indicaremos si estamos tratando o no tus datos y, en su caso: qué datos, cómo los hemos obtenido, para qué los tratamos, si los hemos comunicado, el plazo de conservación… Además, te informaremos sobre los demás derechos que te asisten y sobre la posibilidad de que presentes una reclamación ante la AEPD.
Derecho a solicitar su rectificación o supresión, para que los corrijas o puedas solicitarnos que dejemos de tratarlos y de tenerlos.
Derecho a solicitar la limitación de su tratamiento, en cuyo caso únicamente Fundación Orbayu conservará los datos para las finalidades que legalmente proceda como, por ejemplo, para que puedas usarlos para alguna reclamación.
Derecho a oponerte al tratamiento. Puedes solicitar a Fundación Orbayu que deje de tratar los datos en la forma que indiques, salvo que por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones se tengan que seguir tratando.
Derecho a la portabilidad de los datos. En caso de que quieras exportar tus datos para que sean tratados por un tercero, Fundación Orbayu te facilitará esta portabilidad.
En el caso de que se hayas otorgado el consentimiento para alguna finalidad específica, tiene derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Para ejercitar tus derechos, tienes a tu disposición modelos, formularios y más información en la web de la Agencia Española de Protección de Datos, a la que te puedes dirigir si consideras que hay un problema con la forma en que FUNDACIÓN ORBAYU trata tus datos.

2.2 Información sobre cookies y otros rastreadores usados por Fundación Orbayu

FUNDACIÓN ORBAYU, a través de sus aplicaciones y sitios web, emplea cookies y otros rastreadores para diferentes finalidades. Las cookies son ficheros que se generan en tu terminal cuando navegas a través de alguna de las aplicaciones o sitios web de FUNDACIÓN ORBAYU. Estos ficheros pueden guardar información sobre tu forma de navegar o, simplemente, recordar que eres usuario registrado. FUNDACIÓN ORBAYU o terceros pueden tener acceso a la información contenida en estos ficheros, por lo que es importante que decidas si deseas o no aceptar estos tratamientos. Además de las cookies, FUNDACIÓN ORBAYU emplea estos otros rastreadores para obtener datos de los usuarios: (1) tracking pixel: consiste en una imagen que se envía desde FUNDACIÓN ORBAYU a tu navegador cuando abres un email remitido por FUNDACIÓN ORBAYU o entras en alguna web de FUNDACIÓN ORBAYU, lo que permite que FUNDACIÓN ORBAYU conozca datos sobre la apertura del email o el acceso a la web; (2) finger print: es una solución informática que permite analizar la navegación del usuario cuando este solicita un archivo a FUNDACIÓN ORBAYU, lo carga en su terminal o navega por la web de FUNDACIÓN ORBAYU.

En adelante, denominamos “cookies” a cualquier tipo de rastreador empleado por FUNDACIÓN ORBAYU.

Detalles sobre las cookies en aplicaciones y sitios web de FUNDACIÓN ORBAYU:

A.- Cookies técnicas (propias):

Finalidad: Identificador de usuario como nuevo visitante

Datos tratados: Identificador de inicio de sesión

Duración del tratamiento: 40 años o, como máximo, hasta que se elimine la cookie del navegador del usuario

Finalidad: Recordatorio de la respuesta del usuario al banner de cookies

Datos tratados: Identificador de respuestas al banner

Duración del tratamiento: 37 años o, como máximo, hasta que se elimine la cookie del navegador del usuario

B.- Cookies técnicas (de terceros)

reCAPTCHA (Google). Finalidad: seguridad anti-spam

Datos tratados: Este sitio web tiene implementada la API reCAPTCHA de Google para la finalidad indicada. Este sistema permite a Google recoger información de software y hardware, así como datos de la aplicación y del dispositivo, y los envía a Google para que los analice. Esta información se utiliza para mejorar el servicio reCAPTCHA y la seguridad general. No se utilizará para publicar anuncios personalizados de Google.

Duración del tratamiento: Los periodos de conservación son establecidos por Google para cada tipo de dato en función del motivo de su recogida. Por ejemplo, Google conserva los datos de la altura y anchura del navegador, así como la dirección IP durante un máximo de nueve meses; mientras que la información de las cookies se elimina transcurridos 18 meses.

Más información: https://policies.google.com/technologies/retention

WAF. Finalidad. Seguridad

Datos tratados: Este sitio web tiene implementado un servicio de cortafuegos y antimalware que previene y mitiga ataques contra la web y contra los datos tanto en tránsito como en reposo, para lo cual recoge información sobre el software y el hardware empleado para la navegación y las acciones hacia la web tales como intentos de SQL injection o ataques de fuerza bruta. El sistema implementado puede bloquear al usuario por IP o por nombre de usuario empleado cuando reconoce patrones específicos identificados como malintencionados o potencialmente dañinos.

Duración del tratamiento: 90 días

C.- Cookies Analíticas (de terceros)

Finalidad: Distinción de usuarios únicos en Google Analytics, de Google Ltd

Datos tratados: IP, puerto, tipo de archivo solicitado y configuración de idioma y de caracteres, así como, la web de procedencia y el sistema operativo.

Más información: https://policies.google.com/technologies/retention

Cookies en redes sociales y sitios de terceros

FUNDACIÓN ORBAYU cuenta con perfiles en redes sociales (por ejemplo, Instagram) indicadas en el aviso legal y, además, ha integrado en sus aplicaciones y sitios web algunos contenidos de terceros (por ejemplo, vídeos de YouTube). Estas acciones implican una colaboración de FUNDACIÓN ORBAYU con los responsables de estos otros sitios para la obtención inicial de datos de los usuarios con fines publicitarios o estadísticos. Del tratamiento correspondiente a la obtención inicial de datos de los usuarios, FUNDACIÓN ORBAYU es corresponsable junto con los titulares de las redes sociales indicadas y enlazadas en el «aviso legal» de este sitio web. En relación con este tratamiento, los titulares de las redes sociales son los corresponsables principales a efectos de recepción de solicitudes de ejercicio de derechos por parte de los interesados.

Cómo borrar las cookies o cambiar su configuración de cookies

En cualquier momento, el usuario podrá restaurar o cambiar sus preferencias de cookies a través del panel de control de cookies, pulsando aquí. Para borrar las cookies de tu navegador configúralo como indican sus instrucciones para los siguientes navegadores:

Si lo deseas, puedes instalar el complemento de inhabilitación para navegadores de Google Analytics para inhabilitar el uso de tus datos personales.

Para más información sobre la forma en que FUNDACIÓN ORBAYU trata tus datos por medio de las cookies, lee las actividades de tratamiento de seguridad, de analítica y de perfilado publicitario, del RAT de FUNDACIÓN ORBAYU.

2.3 Registro de Actividades del Tratamiento

Listado de tratamientos:

1. Analítica web con finalidad estadística, funcional y docente

El responsable analiza la navegación y el comportamiento de las personas, con el objetivo de conocer qué uso se da a sus herramientas y adaptarlas a las necesidades, así como para mejorar sus actividades de comunicación, comercialización y atención a las personas.

Responsable	Fundación Orbayu
Base jurídica	En casos en que el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). Para la obtención de estos consentimientos se informará al interesado de forma separada a cualquier contrato de compra-venta, condiciones generales o contrato de servicios. Este tratamiento se realiza sobre los datos de navegación extraídos tanto del sitio web, como de apps, etc.
Fines del tratamiento	Cuando se requiera aceptación previa por parte del interesado, la finalidad del tratamiento analítico de datos personales será: Análisis de la apertura de comunicaciones remitidas por Fundación Orbayu. Análisis de la navegación de los usuarios a través de los sitios web, aplicaciones móviles y perfiles sociales que gestiona el responsable. Análisis del comportamiento en llamadas telefónicas comerciales.
Colectivo	Usuarios que accedan a sitios web, aplicaciones, o perfiles sociales gestionados por el responsable, así como los que abran o respondan a comunicaciones remitidas por el responsable.
Categorías de datos	Los prestadores de servicios analíticos agregan los datos que obtienen para ofrecer al responsable información cuantitativa sobre la navegación y el comportamiento de las personas, sin que sea posible identificar a la persona concreta. Los datos tratados son: Para analítica web: Cadena de agentes de usuario del navegador y relación de direcciones IP, junto con gráficas y valores totales sobre la navegación del conjunto de los usuarios por cada una de las páginas del sitio web. Analítica de correo: Cadena de agentes de usuario del navegador y relación de direcciones IP, junto con gráficas y valores totales sobre la navegación del conjunto de los usuarios por cada una de las páginas del sitio web. Analítica telefónica: Comportamiento y reacciones ante mensajes comerciales. Particularmente, en el caso de la analítica sobre correos electrónicos y adicionalmente a lo anterior, se obtendrán y analizarán los datos de número de aperturas, hora de apertura, día de apertura, reenvíos, conversiones (en caso de incorporar formularios en email), clics de usuario dentro de enlaces internos del email (con salidas a: landing, web, mailto directo a contacto personal…), dispositivo desde el que se abre, hard, block y soft bounces de email, y bajas de suscripción.
Categoría destinatarios	No están previstas comunicaciones de datos.
Encargados del tratamiento:	Google LLC – Google Analytics – https://analytics.google.com/analytics/web/
Transf. Internacional	El encargado del tratamiento es Google Irlanda y por subencargo Google LLC, 1600 Amphitheatre Parkway Mountain View, CA Estados Unidos. Medida de seguridad: acuerdo de protección de datos con cláusulas tipo a través de Google Workspace (antes, GSuite). https://business.safety.google/adsprocessorterms/ Twitter Inc LinkedIn Facebook.com
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD

2. Actividad comercial y envío de comunicaciones publicitarias y promocionales

Envío de mensajes personalizados con contenido publicitario y promocional.

Responsable	Fundación Orbayu
Base jurídica	El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD); art. 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Ley 3/1991, de 10 de enero, de Competencia Desleal. Ley 34/1988, de 11 de noviembre, General de Publicidad. Para personas que hayan contratado con el responsable: El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (art. 6.1.f del RGPD).
Fines del tratamiento	Envío de comunicaciones publicitarias o promocionales por vía electrónica, postal y telefónica.
Colectivo	Clientes y personas interesadas en las actividades e información acerca de las actividades, productos y servicios del responsable o de los contenidos que crea, pública o impulsa: Patronos Empleados Colaboradores Beneficiarios Cualquier persona
Categorías de datos	Nombre y apellidos Email Número de móvil
Categoría destinatarios	No se prevén cesiones de datos personales. Encargados del tratamiento: Marketing cloud Salesforce Agentes comerciales: Cuando los fines comerciales lo aconsejan debido a la localización del interesado y las oportunidades que el responsable le pueda ofrecer en su entorno, se podrán ceder datos a agentes comerciales en Latinoamérica con los que el responsable ha establecido y mantiene medidas de seguridad adecuadas al nivel de riesgo para los datos personales a través de contratos de encargado del tratamiento y sobre los que realiza auditorías e inspecciones periódicas. Plataformas de audiencias afines (Facebook Audience Insights; LinkedIn Lookalike Audience for Ad Targeting; y Google Custom Affinity Audiences) a los que el responsable permite el acceso a datos con la única finalidad de que muestre publicidad segmentada a otros usuarios afines.
Transf. Internacional	Se prevén transferencias internacionales a los encargados del tratamiento.
Plazo supresión	Envío de comunicaciones a clientes: se conservarán los datos para esta finalidad mientras exista expectativa razonable, por parte del receptor de los mensajes, de seguir recibiendo comunicaciones publicitarias o promocionales. Envío de comunicaciones previa solicitud o autorización expresa: se mantendrán los datos para esta finalidad hasta que el usuario retire su consentimiento.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

3. Gestión de la relación contractual para comercio electrónico

Los responsables realizan la comercialización de sus servicios a través de medios electrónicos o en parte presenciales y electrónicos.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). En concreto, el correspondiente a la compra-venta de productos o servicios al por menor.
Fines del tratamiento	Para la venta de productos y servicios, tanto en tienda online como a través de gestiones presenciales, se recaban datos con las siguientes finalidades: Recepción y gestión de solicitudes de donación, o compra de productos y servicios. Emitir factura o factura simplificada. Cobro del precio de las donaciones a los donantes, así como de servicios que el responsable ofrezca. Ofrecer el correspondiente servicio postventa.
Colectivo	Patronos Empleados Colaboradores Beneficiarios Cualquier persona
Categorías de datos	Datos identificativos: nombre y apellidos, DNI, dirección electrónica, dirección física, teléfono.
Categoría destinatarios	Entidades financieras. Administración Tributaria.
Encargados del tratamiento	Empresas de transporte de mercancías.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, además de los periodos establecidos en la normativa de archivos y documentación. 5 años en virtud del Código Civil (art. 1964) para las acciones personales sin plazo especial y, cuando procesa, 10 años en virtud de la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (art. 25).
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

4. Fotografía, vídeo y grabación de voz con fines de mejora de marca personal o comerciales

Toma de fotografía y grabación de imagen y/o voz para (1) su publicación en la web o publicaciones de promoción; y para (2) fines publicitarios o promocionales del responsable.

Responsable	Fundación Orbayu
Base jurídica	Para el caso de las grabaciones y emisiones de las intervenciones de los asistentes a eventos concretos, el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (art. 6.1.f del Reglamento General de Protección de Datos). Consentimiento expreso, tanto para la captación como para las demás finalidades, conforme se establece en: El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del Reglamento General de Protección de Datos) Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, especialmente sus artículos 2, 7 y 8. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales.
Fines del tratamiento	Toma de fotografías y grabación de imágenes y voz para: Actividades de beneficiarios gracias al disfrute de microcréditos. Actividades propias de la Fundación Orbayu Publicación en memorias anuales. Fines publicitarios o promocionales del responsable. Publicación en las páginas y sitios web del responsable y cedidos a medios de comunicación.
Colectivo	Patronos Empleados Colaboradores Beneficiarios Participantes en actividades de la Fundación Orbayu Otras personas
Categorías de datos	Imagen Voz Nombre y apellidos Dirección física Email Teléfono Vínculo con el responsable Motivo concreto del tratamiento aceptado
Categoría destinatarios	Los datos serán publicados en las páginas y sitios web del responsable y cedidos a medios de comunicación, cuando se haya obtenido consentimiento por parte del interesado para estos tratamientos o, en su caso, cuando sea necesario para la ejecución de un contrato en el que el interesado es parte o se tenga que satisfacer el interés legítimo antes indicado del responsable. No se prevén otras cesiones de datos personales
Encargados del tratamiento	Empresas y agencias de gestión de contenidos, edición y entrega de material audiovisual.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Los datos tomados para actividades de la Fundación o por causa de un contrato, se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En el resto de casos, se mantendrá el tratamiento de los datos personales hasta que el usuario retire su consentimiento. En el caso de que los datos se hubieran publicado en sitios web de terceros o en medios de comunicación ajenos al responsable, el ejercicio de los derechos puede obtener como respuesta la imposibilidad de suprimir de forma efectiva los datos.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

5. Gestión Financiera. Cobro y de recobro

El responsable gestiona los pagos, cobros y recobros relacionados con la gestión propia de su servicio de microcréditos y de sus campañas de donaciones.

Responsable	Fundación Orbayu
Base jurídica	RGPD: art. 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. RGPD: art. 6.1.c). Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. RGPD: art.6.1.e). Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 9/2017, de 8 de noviembre, de Contratos del Sector público. Ley 47/2003, de 26 de noviembre, General Presupuestaria. Ley 58/2003, de 17 de diciembre, General Tributaria. Ley 38/2003, de 17 de noviembre, General de Subvenciones. Ley 35/2006, de 28 de noviembre, del Impuesto sobre la Renta de las Personas Físicas y de modificación parcial de las leyes de los Impuestos sobre Sociedades, sobre la Renta no Residentes, y sobre el Patrimonio. Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
Fines del tratamiento	Gestión necesaria de datos personales para llevar a cabo los pagos, cobros, recobros y, en su caso, devoluciones. Registro y comprobación de datos relativos a IVA, IRPF, altas en Hacienda y en Seguridad Social, certificados bancarios, etc.
Colectivo	Patronos Empleados Colaboradores Beneficiarios Donantes Participantes en actividades de la Fundación Orbayu Otras personas con las que el responsable tuviera una deuda o sobre las que tuviera un crédito
Categorías de datos	Nombre, apellidos, teléfono, dirección postal y electrónica, DNI/NIF, firma, firma electrónica. Datos económicos, financieros y de seguros. Datos bancarios y empresariales. Certificados emitidos por la Administración Pública para los interesados
Categoría destinatarios	Entidades financieras (Banco Santander) y Agencia Estatal de la Administración Tributaria
Encargados del tratamiento	Empresas y despachos de gestión de cobros y recobros. Banco Santander y Aster Asesoría y Consultoría S.L.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En función del caso se podrán conservar durante estos plazos 4 años en virtud de la Ley sobre Infracciones y Sanciones en el Orden Social para obligaciones en materia de filiación, altas/bajas, cotizaciones, pago de salarios (art. 66); y en virtud de la Ley General Tributaria para los libros de contabilidad… 5 años en virtud del Código Civil (art. 1964) para las acciones personales sin plazo especial. 6 años en virtud del Código de Comercio (art. 30) para los libros de contabilidad, facturas… 10 años en virtud de la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (art. 25).
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

6. Servicio de correo electrónico y M365

El responsable ofrece correo electrónico, herramientas colaborativas y hospedaje de sitios web para Patronos, directivos y empleados de la Fundación Orbayu.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD).
Fines del tratamiento	Gestionar la suscripción al servicio
Colectivo	Patronos Empleados Colaboradores Beneficiarios Donantes
Categorías de datos	Nombre y apellidos Dirección postal Email Número de teléfono Ficha personal en relación con su vínculo con el responsable
Categoría destinatarios	Microsoft España
Encargados del tratamiento	No se prevén.
Transf. Internacional	Están previstas transferencias internacionales a los Encargados del tratamiento (indicar, al menos, los que podrían realizar transferencias internacionales, junto con el país) o destinatarios de cesiones que se indican.
Plazo supresión	Correos electrónicos: Mientras el beneficiario mantenga su consentimiento para el uso del servicio Mientras dure la relación con el prestador
información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se requiere realizar una EIPD.

7. Provisión de puestos de trabajo para trabajar en Fundación Orbayu

Provisión de puestos de trabajo y selección de personal, tanto laboral como externo.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). La comprobación de los antecedentes del interesado tendrá su base en el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del Reglamento General de Protección de Datos). La búsqueda proactiva de candidatos y de detalles sobre estos en bases de datos de terceros tiene su base en el interés legítimo de descubrirlos para cubrir puestos o de conocerlos mejor para saber si el puesto encaja en su perfil (art. 6.1.f del Reglamento General de Protección de Datos). Estatuto de los Trabajadores Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social. Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. Ley Orgánica 2/2006, de 3 de mayo, de Educación.
Fines del tratamiento	Análisis y cotejo de los antecedentes profesionales de los candidatos. Análisis de la personalidad del candidato cuando esto sea determinante para las labores previstas (por ejemplo, docencia). El responsable analizará los documentos que le remita el candidato, todo el contenido que sea directamente accesible a través de los buscadores (Bing, Yandex, Google, Baidu, DuckDuckGo, etc.), los perfiles que mantenga en redes sociales profesionales (LinkedIn, Xing, Viadeo, etc.), los datos obtenidos en las pruebas de acceso y la información que revele en la entrevista de trabajo, con el objetivo de valorar su candidatura y poder, en su caso, ofrecerle un puesto. Este análisis podrá realizarlo para descubrir y valorar candidatos que precise para determinados puestos o encargos.
Colectivo	Participantes en procesos de selección. Profesionales con perfiles públicos.
Categorías de datos	Datos identificativos: Nombre y apellidos; DNI, NIE o documento identificativo; número de la seguridad social; dirección, firma y teléfono. Datos de características personales: Género, nacionalidad, edad, fecha y lugar de nacimiento. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Categorías especiales de datos: discapacidades
Categoría destinatarios	Empresas en o con las que el empleado haya trabajado, con objeto de cotejar los datos y comprobar su veracidad.
Encargados del tratamiento	Empresas de Selección y Reclutamiento.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En caso de que el candidato no sea seleccionado, el responsable podrá mantener almacenado su currículo un máximo de dos años para incorporarlo a futuras convocatorias, a menos que el candidato se manifieste en contrario o exprese su deseo de que sea mantenido por más tiempo, hasta que retire su consentimiento.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

8. Personal laboral y Patronato

Actividad de tratamiento relacionada con la gestión de las relaciones contractuales para empleados y patronos de la Fundación Orbayu, incluyendo la gestión de la formación para estos y otras actividades propias de la relación laboral.

Responsable	Fundación Orbayu
Base jurídica	La gestión de la relación laboral o mercantil tiene las siguientes bases de legitimación: El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD) Estatuto de los Trabajadores Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social. Los tratamientos vinculados, ya sea por custodia de los datos para la emisión de certificados, por la cesión de datos a la Administración Pública u otros indicados en la sección de finalidades del tratamiento, encuentran su base de legitimación en que el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. Ley Orgánica 2/2006, de 3 de mayo, de Educación.
Fines del tratamiento	Llevanza de la relación laboral con el personal contratado: Gestión del expediente personal. Control horario. Control de incompatibilidades. Impulso a la formación del personal contratado y seguimiento de su desarrollo. Gestión de planes de pensiones a través de un tercero. Impulso de la acción social. Prevención de riesgos laborales. Régimen disciplinario. Gestión de acciones para concienciar y luchar contra el acoso sexual y por razón de género en cualquiera de sus formas. Gestión de la actividad sindical. Impulso de actividades en foros, congresos y mesas redondas. Emisión y pago de la nómina, así como de todos los productos derivados de la misma. Datos profesionales identificativos de las personas que forman el claustro que en cada caso corresponda.
Colectivo	Patronos Empleados
Categorías de datos	Correo electrónico Dirección NIF / DNI Nombre y Apellidos Teléfono Académicos y Profesionales Nº SS / Mutualidad Certificado de ausencia de antecedentes penales Características Personales Datos de carácter personal: discapacidad Datos bancarios para el pago de honorarios Datos familiares (datos de contacto de allegados o familiares para atender urgencias) Detalles sobre su desarrollo profesional trabajando para el responsable: formación recibida, cursos impartidos, calificaciones recibidas por parte de los alumnos, experiencias docentes nacionales e internacionales, congresos, publicaciones, etc.
Categoría destinatarios	Cesionarios: Administración pública con competencia en la materia Agencia Tributaria Seguridad Social Entidades bancarias Empresas dedicadas a encuestas para formación de estudios o rankings Entidades aseguradoras FUNDAE Socios territoriales del responsable Encargados del tratamiento: ASTER ASESORÍA Y CONSULTORÍA, SL (B82508847) – https://www.asterasesoria.es/ Empresas de gestión de aplicaciones informáticas
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Finalizado el contrato, los plazos de conservación serán, según el tipo de dato personal, los siguientes: 4 años en virtud de la Ley sobre Infracciones y Sanciones en el Orden Social para obligaciones en materia de filiación, altas/bajas, cotizaciones, pago de salarios (art. 66); y en virtud de la Ley General Tributaria para los libros de contabilidad. 5 años en virtud del Código Civil (art. 1964) para las acciones personales sin plazo especial. 6 años en virtud del Código de Comercio (art. 30) para los libros de contabilidad, facturas. Se conservará un histórico de los docentes para la expedición de los certificados que correspondan, salvo que conste su oposición a este tratamiento, y por las posibles responsabilidades que se pudieran derivar del desempeño de sus funciones como profesional contratado.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

9. Colaboradores

El responsable tiene colaboradores profesionales para diferentes tareas, especialmente para la identificación de beneficiarios y la posterior gestión de los microcréditos concedidos por la Fundación Orbayu.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. Ley Orgánica 2/2006, de 3 de mayo, de Educación.
Fines del tratamiento	Llevanza del acuerdo de colaboración con el colaborador: Datos del colaborador: Denominación, NIF, Razón Social. Gestión del expediente. Régimen disciplinario. Gestión de acciones para concienciar y luchar contra el acoso sexual y por razón de género en cualquiera de sus formas. Pago de facturas del personal externo, así como de todos los productos derivados de la misma.
Colectivo	Colaboradores Beneficiarios
Categorías de datos	Correo electrónico Dirección Firma (manual, digitalizada o electrónica) Imagen / Voz DNI Nombre y Apellidos Nº SS / Mutualidad Teléfono Académicos y Profesionales Características Personales Detalles del Empleo Número de cuenta bancaria para procesar los pagos Seguros de Responsabilidad civil aplicables Datos sobre su estado al corriente de pagos en Hacienda y Seguridad Social Certificados de ausencia de antecedentes Penales
Categoría destinatarios	Cesionarios: Agencia Tributaria Organismos de la seguridad social Entidades bancarias Encargados del tratamiento ASTER ASESORÍA Y CONSULTORÍA, SL (B82508847) – https://www.asterasesoria.es/
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

Gestión de beneficiarios

Gestión del perfil del beneficiario para su identificación, valoración de la concesión del microcrédito, control de la dedicación de los microcréditos y pago de las cuotas pactadas.

Responsable	Fundación Orbayu
Base jurídica	RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
Fines del tratamiento	Entrevista al beneficiario y al colaborador para evaluar su perfil y, en su caso, sugerir o concederle acceso a programas de microcrédito. Seguimiento administrativo de los beneficiarios en sus diferentes actividades vinculadas al microcrédito, conjuntamente con el colaborador correspondiente. Seguimiento del pago de cuotas de pago acordadas.
Colectivo	Colaboradores Beneficiarios
Categorías de datos	Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono, imagen, firma. Detalles de empleo: entidad u organismo y puesto que ocupa. Persona de contacto (cuando legalmente proceda).
Categoría destinatarios	No se prevén cesiones de datos
Encargados del tratamiento	No se prevén.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se requiere realizar una EIPD.

11. Proveedores y colaboradores comerciales y de negocio

El responsable contrata a profesionales, proveedores y colaboradores comerciales y de negocio para diferentes acciones. Para ello, debe contactar con los profesionales o las personas físicas que representan a las empresas que venden productos o le proporcionan servicios.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero y no prevalecen los intereses ni los derechos y libertades fundamentales del (art. 6.1.f del RGPD).
Fines del tratamiento	Registro y gestión de datos de contacto de proveedores y colaboradores comerciales y de negocio.
Colectivo	Proveedores de servicios o vendedores y, si estos fueran personas jurídicas, las personas físicas de contacto.
Categorías de datos	Datos identificativos: Nombre y apellidos, DNI, dirección, teléfono, imagen y firma. Detalles de empleo: entidad u organismo y puesto que ocupa. Datos económico-financieros: datos bancarios.
Categoría destinatarios	Entidades financieras. Agencia Estatal de la Administración Tributaria
Encargados del tratamiento	No se prevén.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

12. Atención a los derechos de las personas

Atender las solicitudes de ejercicio de los derechos que establece el RGPD.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). En concreto, para recibir, gestionar y responder solicitudes de derechos del interesado (Capítulo III del RGPD)
Fines del tratamiento	Recibir, gestionar y responder solicitudes de derechos del interesado (Capítulo III del RGPD).
Colectivo	Cualquier persona
Categorías de datos	Datos identificativos: Nombre y apellidos, DNI, dirección, teléfono, tipo de relación con el responsable y firma. Datos relativos a la solicitud de ejercicio correspondiente
Categoría destinatarios	Fundación Orbayu
Encargados del tratamiento	No se prevén.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para resolver las reclamaciones.
Datos adicionales	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

13. Consultas presenciales, telefónicas o a través de medios electrónicos

Registro y gestión de las consultas formuladas a Fundación Orbayu sobre las actividades de la entidad.

Responsable	Fundación Orbayu
Base jurídica	El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD).
Fines del tratamiento	Registro y gestión de las consultas sobre las actividades del responsable.
Colectivo	Cualquier persona
Categorías de datos	Datos identificativos: Nombre Apellidos Correo electrónico Teléfono. Datos que puedan ser incorporados a la consulta.
Categoría destinatarios	Fundación Orbayu
Encargados del tratamiento	No se prevén.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Se conservarán durante el tiempo necesario para la tramitación y respuesta de la consulta.
Datos adicionales	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

Seguridad física en las instalaciones. Registro y control de accesos

Garantizar la seguridad de personas, bienes e instalaciones sobre espacios físicos y electrónicos

Registro y control de las visitas a los únicos fines de garantizar la seguridad.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. (art. 6.1.e del RGPD). El tratamiento necesario por razones de un interés público esencial determinado por la Ley. Art. 9.2.g) RGPD.
Fines del tratamiento	La finalidad tanto de la seguridad física como el registro y control de acceso es garantizar la seguridad de las personas, bienes e instalaciones sobre los espacios físicos y electrónicos.
Colectivo	Toda persona física que acuda a las instalaciones o actividades del responsable: Patronos Empleados Colaboradores Beneficiarios Donantes Participantes en actividades de la Fundación Orbayu Ponentes Proveedores Acompañantes Invitados Personalidades con Altos Cargos
Categorías de datos	Datos identificativos: Nombre y apellidos DNI Dirección física Teléfono Datos profesionales: empresa cargo Motivo de la visita
Categoría destinatarios	Fuerzas y cuerpos de seguridad del Estado.
Encargados del tratamiento	No se prevén.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Treinta días como máximo, a contar desde la fecha de su recogida.
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

15. Seguridad lógica

El responsable analiza el comportamiento de los usuarios en su navegación a través del sitio web y los diferentes perfiles sociales con el objeto de prevenir y bloquear ataques lógicos.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero y no prevalecen los intereses ni los derechos y libertades fundamentales del (art. 6.1.f del RGPD). En particular, estos intereses legítimos consisten en evitar el acceso no consentido o la destrucción o alteración de los datos y los sistemas, así como impedir que se bloquee el acceso a los mismos o que terceros realicen otros tratamientos no autorizados.
Fines del tratamiento	Analizar: el comportamiento de los usuarios en su navegación a través del sitio web y los diferentes perfiles sociales con el objeto de prevenir y bloquear ataques lógicos. el contenido y los adjuntos, tanto de los servicios de alojamiento de contenidos, como de correo electrónico. En ambos casos, una parte del tratamiento lo realiza el responsable directamente o por medio de encargo. Sin embargo, la mayor parte del tratamiento lo realizan terceros a los que se ha contratado el servicio bajo el cual realizan un tratamiento para esta finalidad, pero según sus propios criterios de elección sobre los fines y medios.
Colectivo	Usuarios que accedan a sitios web o perfiles sociales gestionados por el responsable.
Categorías de datos	Direcciones IP. Cadena de agentes de usuario del navegador.
Categoría destinatarios	Fundación Orbayu
Encargados del tratamiento	Empresas forenses y de gestión de la seguridad de la información.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	reCaptcha, de Google LLC: aproximadamente, 26 meses (política de privacidad).
Información adicional	No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Observaciones: La implementación de reCaptcha obliga a incluir en el sitio web un aviso expreso informando sobre estos tratamientos a los usuarios. La web de reCaptcha indica exactamente qué es obligatorio indicar.

16. Eventos

En los supuestos de organización de eventos, congresos, seminarios y actividades similares por parte de Fundación Orbayu es posible que se recopilen datos personales de diversas categorías de colectivos.

Responsable	Fundación Orbayu
Base jurídica	Tratamiento necesario para la ejecución de un contrato (art. 6.1.b) RGPD): Relación jurídica con ponentes y comunicantes. Aceptación de las condiciones de inscripción por los asistentes a los congresos. Consentimiento para el tratamiento (art. 6.1.a) RGPD): Cuando se prevea, consentimiento del asistente a la recopilación de datos y las grabaciones que se efectúen u otros actos que así lo requieran. En su caso, para la gestión de ayudas y subvenciones: Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno y Ley 38/2003, de 17 de noviembre, General de Subvenciones.
Fines del tratamiento	Gestión relativa a los eventos que se desarrollen, organicen o ejecuten cualquiera de los responsables. Incluye, en todo caso, la publicidad del evento en redes sociales, comunicación de contenido y sus fechas, inscripciones de participantes y ponentes. Gestión de ayudas y subvenciones.
Colectivo	Asistentes al evento, organizadores y ponentes.
Categorías de datos	Datos de carácter identificativo: NIF, nombre y apellidos, dirección postal/electrónica y teléfono. Datos de características personales: fecha y lugar de nacimiento, edad, sexo y nacionalidad. Datos académicos y profesionales: formación y titulaciones, historial académico, experiencia profesional e idiomas. Datos económico-financieros: datos bancarios.
Categoría destinatarios	La publicación de los eventos en la página web y en medios de comunicación. Entidades bancarias para la realización de pagos. Agencias de viajes u hoteles para le gestión de su alojamiento y desplazamiento. A entidades públicas cuando el evento haya sido objeto de ayuda o subvención con fines de verificación y control del gasto.
Encargados del tratamiento	Entidades colaboradoras o prestadoras de servicios de los eventos como inscripción, gestión hotelera, verificación de asistentes, grabación de videos, servicios de catering etc.
Transf. Internacional	No se prevén transferencias internacionales de datos personales.
Plazo supresión	Los datos se conservarán durante la gestión del evento organizado. Los datos objeto de divulgación o publicación (grabaciones, notas de prensa, programas etc.) podrán conservarse indefinidamente. En otro caso, la información se conservará debidamente bloqueada por los periodos adicionales necesarios para la prescripción de eventuales responsabilidades legales.
Información adicional	No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

17. Relaciones Internacionales

Tratamientos que se realizan en los supuestos de que patronos, empleados, colaboradores o beneficiarios vayan a realizar intercambios al extranjero o asistir a cursos, seminarios y similares en Escuelas, Universidades y Organismos fuera de España.

Responsable	Fundación Orbayu
Base jurídica	El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (artículo 6.1.b RGPD). En casos específicos, el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD).
Fines del tratamiento	Gestión, Administración y control de personas que participan en Programas Internacionales que incorporan la realización de cursos, estancias, seminarios y análogos en otros países, sean de la UE u otros diferentes, así como en otros organismos internacionales. Incluye, asimismo, administración y control de cursos de idiomas.
Colectivo	Patronos Empleados Colaboradores Beneficiarios
Categorías de datos	Datos de carácter identificativo: nombre, apellidos, dirección postal y email. Datos académicos y profesionales: formación, titulaciones y experiencia profesional. Datos de detalle del empleo: categoría profesional del PDI. Datos económico-financieros: datos bancarios. Datos de carácter personal relativos a la situación socio-económica.
Categoría destinatarios	En su caso, Agencia Nacional de Evaluación de la Calidad y agencias autonómicas afectadas, en los procesos de evaluación de la calidad previstos por la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. Ministerio de Educación y Ciencia y Consejerías autonómicas afectadas y órganos dependientes con competencias en materia universitaria y Ministerio de Ciencia, Innovación y Universidades y órganos dependientes con competencias en materia universitaria, para el ejercicio de las competencias de estas administraciones en materia académica y de investigación conforme a la respectiva legislación. Otras instituciones universitarias en cumplimiento de las misiones de interés público definidas por la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, o para el despliegue de relaciones jurídicas constituidas en virtud de convenios. Entidades, Organismos, Universidades, etc., que son receptoras o acojan a estudiantes y/o profesores.
Encargados del tratamiento	Agencias de Viajes y empresas de organización de traslados y obtención de visados.
Transf. Internacional	Se prevén transferencias internacionales de datos en los supuestos previsto por el artículo 49.1 del RGPD: a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
Plazo supresión	Los datos se conservarán mientras relación jurídica entre la persona interesada y Fundación Orbayu, sin perjuicio de conservar indefinidamente la información que forma parte del expediente académico del estudiante. La información de los beneficiarios de becas se almacenará por el tiempo indispensable para su gestión administrativa sin perjuicio de la conservación por tiempo indefinido de la misma cuando la beca posea el valor de mérito académico certificable. La información se podrá conservar con carácter indefinido por su valor histórico o estadístico previa aprobación por la Comisión de Expurgo u órgano equivalente conforme a lo regulado en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español y la normativa autonómica aplicable en su caso.
Información adicional	No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD.

2.4 Política de seguridad de la información y privacidad

OBJETO

El objeto de esta Política es establecer las directrices generales que determinan el compromiso de FUNDACIÓN ORBAYU para asegurar la protección de los servicios, información y datos personales que se gestionan en sus procesos de negocio.

ALCANCE

Esta política aplica tanto a las personas y organizaciones que, de una forma u otra, forman parte de FUNDACIÓN ORBAYU y también a aquellas otras que interactúan con ella.

PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN Y LOS DATOS PERSONALES

FUNDACIÓN ORBAYU desarrolla su labor proporcionando servicios docentes de calidad y valor añadido en el ámbito de la enseñanza superior. Para llevar a cabo este propósito, lleva a cabo procesos de negocio que requieren la gestión de información y de datos personales por medio de servicios informáticos que son soportados mediante un sistema de información.

FUNDACIÓN ORBAYU es consciente de la necesidad de garantizar que la información y los datos personales que gestiona, así como los servicios que maneja, han de recibir la protección adecuada para ajustarse a los requerimientos de cumplimiento legal, evitar accesos no autorizados a la información y a los datos personales, conservar su integridad y garantizar que la información, los datos personales y los servicios estarán disponibles cuando sea necesario. Resulta especialmente relevante para FUNDACIÓN ORBAYU la protección que debe aplicarse en el tratamiento de datos personales para garantizar los derechos y las libertades de las personas implicadas.

Los principios fundamentales que regirán la protección de la seguridad de la información y datos personales serán los siguientes:

Seguridad integral. Requiriendo la inclusión y coordinación de todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información y privacidad de FUNDACIÓN ORBAYU.

Seguridad basada en riesgos. Analizando los impactos y probabilidades de materialización de los riesgos que puedan amenazar el sistema de información y privacidad y tomando medidas para tratarlos a niveles que no afecten la consecución de los objetivos de negocio.

Medidas de monitorización, vigilancia, detección, respuesta y conservación, estableciendo herramientas y procesos que vigilen de forma continua el funcionamiento del sistema de información, detecten anomalías y amenazas, impidan su materialización y, si finalmente ocurren, hagan posible recuperar la información afectada y volver a la situación inicial.

Capacitación y concienciación. Seleccionando a las personas con las capacidades adecuadas para intervenir en los procesos del sistema, formándolas para mejorar dichas capacidades y concienciando al conjunto de la empresa de la necesidad de una postura proactiva en defensa de la seguridad de la información, datos personales y servicios.

Cumplimiento legal. Analizando con detalle el marco legal en el que se encuadran las actividades de la empresa y estableciendo las medidas necesarias para cumplir con las obligaciones legales correspondientes, dándole especial importancia a todas aquellas relacionadas con la protección de los datos personales y el respecto a los derechos y libertades de las personas implicadas en los tratamientos de dichos datos.

Mejora continua. Dotando al sistema con mecanismos de revisión regular de su funcionamiento, analizando las medidas para corregir las disfuncionalidades que se presenten y buscando activamente oportunidades para mejorar su diseño y funcionamiento.

IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD

Con el fin de atender a los principios anteriores, FUNDACIÓN ORBAYU ha decidido implantar un Sistema de Gestión de la Seguridad de la Información y Privacidad que, analizando los riesgos pertinentes a la seguridad de la información y la privacidad, determine qué tratamientos son necesarios para limitar el impacto y la probabilidad de que puedan materializarse, mediante la aplicación de las salvaguardas adecuadas.

Este proceso de análisis de riesgos integrará los riesgos a los derechos y libertades de las personas que pudiera producirse al tratar sus datos personales y, si estos riesgos fueran relevantes, incluirá una evaluación específica del impacto, tal y como determina la legislación vigente.

Estos procesos de análisis y tratamiento de riesgos se adaptarán al contexto interno y externo de FUNDACIÓN ORBAYU, y al marco legal al que está sujeta la empresa por la naturaleza de sus actividades.

El conjunto de procesos que desarrollen el Sistema de Gestión de la Seguridad de la Información y Privacidad se documentará adecuadamente.

Con el fin de que el funcionamiento del Sistema de Gestión de la Seguridad y la Privacidad cumpla su propósito y se cumplan los objetivos de seguridad y privacidad asignados, la estructura orgánica de FUNDACIÓN ORBAYU contará con los cargos requeridos, así como con roles específicos aplicables, asignándoles las responsabilidades que resulten necesarias. En este contexto, se creará un Comité de Cumplimiento, Seguridad de la Información y Privacidad que se constituirá como el órgano transversal colegiado para la supervisión y dirección del Sistema de Gestión de la Seguridad de la Información y Privacidad.

REVISIÓN Y MEJORA CONTÍNUA

FUNDACIÓN ORBAYU se compromete a arbitrar mecanismos de revisión del adecuado funcionamiento del Sistema de Gestión de la Seguridad de la Información y Privacidad y a establecer objetivos de seguridad y privacidad cuya consecución plasmará el principio de mejora continua de la seguridad.

Estos objetivos se obtendrán de las propias revisiones que se llevan a cabo con regularidad para evaluar los procesos del sistema, de las no conformidades provenientes de auditorías internas y externas que se programen, así como de la propia iniciativa de todos los actores implicados cuando perciban disfuncionalidades u oportunidades de mejora.

Los objetivos de seguridad y privacidad contarán con responsables designados, recursos suficientes y plazos de consecución plausibles. Su desarrollo y ejecución se revisarán frecuentemente.

COMPROMISO ORGANIZATIVO

La consecución de los objetivos del sistema de gestión de la seguridad de la información y privacidad requiere de un compromiso total de la Fundación para garantizar su ejecución y la mejora de los procesos y actividades que conlleva. Este compromiso se plasmará con la difusión y comunicación de estas directrices al conjunto de sus empleados y a aquellas personas y organizaciones externas que requieran de su conocimiento. Este documento se publicará en un medio accesible a todos los implicados. Esta comunicación se complementará con acciones de concienciación interna que faciliten la integración de este sistema en los objetivos fundacionales de FUNDACIÓN ORBAYU.

2.5 Normativa aplicable y vías de resolución de conflictos

Este aviso legal, de privacidad y cookies está redactado en español, permanecerá accesible por medio de Internet en este mismo sitio web y deberá ser interpretación conforme a normativa española.

Si deseas más información, reportar algún fallo o realizar alguna pregunta, puedes ponerte en contacto con FUNDACIÓN ORBAYU a través de las direcciones indicadas al inicio de este aviso.