El objetivo de esta política es proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos de la actividad médica y las normas aplicables.
Esta política contiene una descripción de elementos clave, tanto humanos como organizativos, tecnológicos y documentales que ASCIRES Grupo Biomédico (en adelante, ASCIRES) aplica para proteger la información, y especialmente los datos de carácter personal, evitando que se produzcan incidentes de seguridad que los pongan en peligro.
En todos los niveles de ASCIRES se velará por la aplicación real y efectiva de las medidas de prevención y control previstas en esta política, de manera que este sistema de gestión consiga la eliminación o reducción de comportamientos que puedan poner en riesgo la seguridad de los activos de información y los datos personales tratados por ASCIRES.
Esta política será adaptada a los cambios tecnológicos y legislativos que se vayan produciendo en el futuro.
ASCIRES tiene como objetivo fundamental la prestación a pacientes de servicios diagnósticos de precisión, tratamientos radioterápicos, medicina nuclear, así como la atención especializada y personalizada en consultas médicas con cirugía ambulatoria.
La vocación por el paciente, la pasión por la innovación tecnológica y la humanización del tratamiento, son las señas de identidad compartidas en ASCIRES. Por tecnología y número de pacientes atendidos anualmente, ASCIRES es el grupo biomédico pionero en España en Diagnóstico por Imagen y Medicina Nuclear, además de un referente en Oncología Radioterápica.
ASCIRES, dentro de su marco de actuación, presta servicios relacionados con la actividad dentro del sector sanitario.
Ello significa que sus principales activos son de naturaleza intangible y que están formados principalmente por información confidencial, como información médica de pacientes o la relativa a investigaciones científicas, datos personales, propiedad intelectual, propiedad industrial, entre otros.
El carácter inmaterial de este tipo de activos los hace muy vulnerables a amenazas internas y externas como el acceso no autorizado, la copia no autorizada, la divulgación, la cesión a terceros, el uso no autorizado, la explotación no autorizada e incluso la destrucción.
La protección de los activos de información exige una serie de medidas jurídicas técnicas y organizativas que se resumen en esta política y se detallan en las normas y procedimientos de ASCIRES.
Esta política se aplica a los siguientes ámbitos de ASCIRES:
En base a lo anterior, y tiendo en cuenta los requisitos aplicables a ASCIRES en materia de seguridad, se establece el siguiente alcance formal que define las áreas que deben cumplir con lo especificado por el Esquema Nacional de Seguridad:
“Los sistemas de información que dan soporte a los servicios de radiodiagnóstico y de medicina nuclear que soportan procesos y actividades asistenciales y no asistenciales de acuerdo con el documento de categorización vigente.”
Nacional y Europea:
Guías y estándares:
Registro de Guías aplicables: “Control Guías Aplicables”.
Política de Protección de Ascires.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con diligencia a los incidentes.
Los sistemas gestionados por ASCIRES deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o a los servicios prestados.
Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno de ASCIRES y así garantizar la prestación continua de los servicios.
Ciertas áreas que conforman ASCIRES deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, ya que prestan servicios a la Administración Pública, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad en los sistemas de información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad, de acuerdo con el Artículo 8 del ENS.
Los objetivos de ASCIRES en materia de seguridad de la información están alineados con los de la actividad médica, dando prioridad al cumplimiento de las obligaciones legales que sean aplicables a la actividad desarrollada.
Se considera un objetivo prioritario de la seguridad de la información el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea y la normativa relativa a la protección de datos personales vigente en los países en los que ASCIRES actúe.
En todos los niveles de ASCIRES existirá el compromiso de cumplir con los objetivos fijados en materia de seguridad de la información y de aplicar los controles establecidos.
La estrategia de ASCIRES en materia de seguridad cumplirá con los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
El principio de confidencialidad garantiza que la información solo se accesible para los usuarios autorizados a acceder a ella y que no podrá ser divulgada a terceros sin la correspondiente autorización.
El principio de integridad garantiza que los datos se mantendrán libres de modificaciones no autorizadas y que la información existente no ha sido alterada por personas o procesos no autorizados.
El principio de disponibilidad garantiza que la información estará accesible y utilizable de forma constante, asegurando la continuidad de los procesos y de la actividad médica. Este principio va unido al de resiliencia, que consiste en asegurar la capacidad de recuperación de los sistemas y la información tras un incidente que impida el acceso temporal a los mismos.
El principio de autenticidad garantiza que el origen y las identidades asociadas a la información son realmente los que aparecen en los atributos de esta. Este principio va unido al de no repudio, que consiste en asegurar que un usuario no pueda negar la autoría de un acto en el sistema o la vinculación a un dato o conjunto de datos.
El principio de trazabilidad garantiza la posibilidad de determinar en cada momento la identidad de las personas que acceden a la información y la actividad que desarrollan en relación con la misma, así como los distintos estados y rutas que ha seguido la información.
Se aplicará a un principio de proporcionalidad entre los controles a aplicar y la gravedad del riesgo a prevenir, detectar o mitigar.
En los nuevos servicios y desarrollos se aplicará el principio de seguridad desde el diseño y por defecto.
Todos los roles y responsabilidades estarán diferenciados y serán asignados de manera individualizada en la descripción del puesto de trabajo. Además de esta asignación individualizada, todas las personas que pertenezcan a ASCIRES, sea cual sea el nivel, estarán obligadas a cumplir con las normas, procedimientos y controles establecidos en materia de seguridad de la información.
La máxima autoridad de control en materia de seguridad de la información corresponderá al órgano de la administración, que se apoyará en el Comité de Protección de Datos y Seguridad de la Información, en el que se integra el Chief Information Security Officer (CISO), que será responsable de velar por el cumplimiento de la presente política y del reporte de cualquier cuestión relevante al Comité.
ASCIRES podrá elaborar normas y procedimientos que desarrollen, concreten y detallen las medidas de control indicadas en la presente política.
A la hora de gestionar la seguridad de la información, ASCIRES ha tomado como referencia estándares internacionales como la ISO 27001; sin embargo, valorando que ASCIRES presta también servicios puntuales a la Administración Pública, se aplica, a su vez, lo establecido en el Esquema Nacional de Seguridad.
De acuerdo con el artículo 12.1 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, se deben identificar unos claros responsables para velar por el cumplimiento de la Política de Seguridad debiendo ser conocido por todos los miembros de ASCIRES.
ASCIRES adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de las funciones, así como las consecuencias en que pudieran incurrir en caso de incumplimiento.
* Se establecen los siguientes roles en ASCIRES relacionados con la Seguridad de la Información:
|
ROLES |
FUNCIONES |
|
Responsable del Servicio |
Determinará los requisitos de seguridad de los servicios prestados, para lo que valorará el impacto que tendría un incidente que afectase a la seguridad de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad |
|
Responsable de la Información |
Determinará los requisitos de seguridad de la información tratada, para lo que valorará el impacto que tendría un incidente que afectase a la seguridad de la información con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad. |
|
Responsable de Seguridad |
Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisando la implantación de las medidas necesarias y reportando sobre estas cuestiones |
|
Responsable del Sistema |
Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad |
|
Administrador de la Seguridad |
Se encarga de las tareas técnicas de seguridad, quien las ejecuta. |
El Responsable del Servicio tiene las siguientes funciones asociadas:
Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad del Servicio.
El Responsable del Sistema de la Información tiene las siguientes funciones asociadas:
Tiene la responsabilidad última del uso que se haga de una cierta información y,
por tanto, de su protección.
El Responsable de Seguridad de la Información tiene las siguientes funciones asociadas:
El Responsable del Sistema de la Información tiene las siguientes funciones asociadas:
Sus funciones serán las siguientes:
|
ROLES |
DESIGNACIÓN |
|
Responsable del Servicio |
Las funciones del responsable del Servicio de ASCIRES serán asumidas por el Director de Operaciones |
|
Responsable de la Información |
Las funciones del Responsable de Información en ASCIRES serán asumidas el Director de Operaciones |
|
Responsable de Seguridad |
Las funciones del Responsable de Seguridad de la Información de ASCIRES serán asumidas por el Chief Information Security Officer (CISO) |
|
Responsable del Sistema |
Las funciones del Responsable del Sistema en ASCIRES serán asumidas por el Responsable de Sistemas de Infraestructuras IT. |
|
Administrador de la Seguridad |
Las funciones de Administrador de la Seguridad en ASCIRES serán asumidas por el Responsable de Sistemas de Infraestructuras IT. |
Es el órgano que coordina la Seguridad de la Información a nivel interno de ASCIRES.
Estará formado por el Responsable del Servicio, el Responsable de Seguridad, el Responsable de la Información y el Responsable del Sistema.
Asimismo, se integrarán en el Comité de Protección de Datos y Seguridad de la Información el DPO y la Dirección del Departamento Jurídico, cuyas funciones se detallan en la Política de Protección de Datos.
El Comité de Protección de Datos y Seguridad de la Información tendrá las siguientes funciones:
El Responsable de Seguridad es quien asumirá las funciones de secretariado del Comité de Protección de Datos y Seguridad de la Información que serán las que se detallan a continuación:
El Responsable de Seguridad de la Información, trasladará al Comité de Protección de Datos y Seguridad de la Información de ASCIRES, aquellos aspectos que hubieran sido tratados con el Responsable de Seguridad cuando deban gestionarse de forma conjunta con el Ayuntamiento.
La jerarquía de roles se describe de la siguiente manera:
El Responsable de la Seguridad de la Información informa a la Dirección de la organización, según lo acordado en el Comité de Protección de Datos y Seguridad de la Información.
El voto o decisión del Responsable de Seguridad de la Información prevalecerá ante un empate en las decisiones tomadas por el resto de los miembros del Comité de Protección de Datos y Seguridad de la Información.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
ASCIRES realiza de forma periódica y continuada un análisis de riesgos de las amenazas que afectan a la seguridad de la información.
El análisis de riesgos se realiza a través de un mapa de riesgos inherentes, en el que se evalúan los riesgos brutos existentes antes de la aplicación de los controles de prevención, detección y mitigación, y a través de un mapa de riesgos residuales, en el que se evalúan los riesgos netos existentes después de la aplicación de controles.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el Artículo 7 del ENS.
Para la armonización de los análisis de riesgos, el Comité de Protección de Datos y Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará ASCIRES, basándose en estándares y buenas prácticas reconocidas.
Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de ASCIRES de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.
En todos los niveles de ASCIRES existirá la obligación de comunicar de forma inmediata los riesgos en materia de seguridad de la información que se identifiquen.
Estos riesgos se comunicarán a través de los canales que ASCIRES ha habilitado para comunicar cualquier tipo de amenaza para las personas, los activos o el cumplimiento normativo.
El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 10 del ENS. Este análisis se repetirá:
ASCIRES trata datos de carácter personal. El Registro de Actividades del Tratamiento, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes.
Todos los sistemas de información de ASCIRES se ajustarán a la seguridad requerida por la normativa en materia de protección de datos de carácter personal de acuerdo con el análisis de riesgos realizado para la naturaleza y finalidad de los datos de carácter personal recogidos en el Registro de Actividades del Tratamiento del organismo.
Las áreas que conforman ASCIRES deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello, las áreas que conforman ASCIRES deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, las áreas o departamentos deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que puedan informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
ASCIRES desarrollará un procedimiento de gestión de los incidentes de seguridad que garantice una respuesta inmediata a cualquier amenaza que pueda surgir para la seguridad de la información. En este procedimiento se detallarán las acciones a desarrollar para evaluar la gravedad del incidente, el riesgo que se haya podido generar para los derechos de las personas y para la información. En este sentido, el procedimiento deberá incluir las eventuales comunicaciones a la Agencia Española de Protección de Datos y a las personas afectadas.
Cualquier persona que tenga conocimiento o sospecha de algún incidente que afecte a la seguridad de la información deberá comunicarlo inmediatamente a través de los canales establecidos para ello. La falta de comunicación de un incidente de seguridad se considerará una infracción laboral grave.
En este sentido, los departamentos involucrados en la presente política deben:
En el caso de que el análisis del incidente demuestre la existencia de una vulnerabilidad técnica u organizativa, se procederá a la inmediata gestión y subsanación de dicha vulnerabilidad.
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de la actividad médica y actividades de recuperación.
Para ello, ASCIRES aplicará las medidas necesarias para asegurar la continuidad de la actividad médica y la disponibilidad de la información y los recursos TIC corporativos. Estas medidas incluirán un plan de emergencia que detalle las acciones a seguir en el caso de que un incidente de cualquier naturaleza impida el acceso a la información.
En este sentido, ASCIRES dispondrá de equipos alternativos, centros de proceso duplicados o proveedores con servicios o equipos que puedan sustituir a los principales en caso de avería o siniestro. Estas medidas se exigirán contractualmente a los proveedores críticos.
Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.
Los niveles de Riesgo residuales esperados sobre cada Información tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de la Información.
Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable del Servicio.
Los niveles de riesgo residuales serán presentados por el Responsable de Seguridad de la Información al Comité de Protección de Datos y Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.
Esta Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se ha desarrollado un Sistema de Gestión, con una serie de procedimientos.
En el Procedimiento P_01_Gestión Documental, se especifica todo el control de elaboración, revisión y aprobación de la documentación y en la Política POL_03_Política de Clasificación de la información se especifica la clasificación de la información y su tratamiento.
La normativa de seguridad estará a disposición y será aceptada por todos los miembros de la organización.
Todos los miembros de ASCIRES tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad que aplica a ASCIRES, siendo responsabilidad del Comité de Protección de Datos y Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
ASCIRES promoverá una actividad constante de formación y concienciación en todos los niveles de ASCIRES en materia de seguridad de la información.
La formación podrá basarse en sesiones presenciales o en cursos de e-Learning. Esta formación podrá basarse en cualquier tipo de material e instrumentos de comunicación y formación que permitan concienciar sobre los riesgos penales a todos los niveles de ASCIRES.
ASCIRES realizará las siguientes funciones en materia de formación y concienciación:
El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos de ASCIRES, siendo las consecuencias del incumplimiento de la Política de seguridad las que se establezcan en la normativa en vigor en cada momento.
Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, la cual está publicada en la web y sede de ASCIRES. Se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Además de las exigencias legales en materia de seguridad, ASCIRES está obligada también a cumplir los requisitos específicos de seguridad que le exijan sus clientes y proveedores en relación con la información a la que accedan en virtud de sus relaciones contractuales con ellos.
ASCIRES realizará y mantendrá actualizado un mapa de obligaciones contractuales en el que se identificará y priorizarán las obligaciones relacionadas con la seguridad de la información confidencial y los datos personales a los que accede o trate.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
ASCIRES comprobará periódicamente que las obligaciones contractuales asumidas en materia de seguridad están integradas en esta política de seguridad o en las normas y procedimientos que la desarrollan. En caso contrario, se realizará esta integración.
El presente documento ha sido aprobado el 10/01/2023.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Será revisada por el Responsable de Seguridad a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, de acuerdo con el artículo 13 del ENS.
Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.
Ascires dispone de la certificación ENS con la categoría MEDIA para sus centros médicos de la Comunidad Valenciana y Madrid.
Tras rellenar los datos, en breve, recibirá una llamada telefónica para confirmar la disponibilidad de fecha, seguro médico y servicio médico en la clínica seleccionada, y programar la cita. Recuerde que nuestro horario de atención al cliente es de lunes a viernes de 7:40h a 22:00h. Sábados de 7:45 a 15:00.
Ascires grupo biomédico es consciente de la importancia de proteger su privacidad, por ello, ha dispuesto de la presente Política de Privacidad a los efectos de comunicarle de la manera más transparente posible cómo serán utilizados sus datos de carácter personal en el caso de que decida facilitárnoslos.
En adelante nos referiremos al conjunto de todas ellas como “Ascires”, son conscientes de la importancia de proteger su privacidad, por ello, ha dispuesto de la presente Política de Privacidad a los efectos de comunicarle de la manera más transparente posible cómo serán utilizados sus datos de carácter personal en el caso de que decida facilitárnoslos.
El tratamiento de sus datos de carácter personal por parte de ASCIRES se basará en los siguientes principios:
De forma adicional a la presente política, cada uno de los apartados y formularios dispuestos en la página web a través de los que se recogen datos de carácter personal cuenta con información específica acerca del tratamiento de los datos obtenidos a través de dicho canal.
La información que encontrará en cada formulario y que se complementará con la “Información Adicional” facilitada en la presente Política para cada formulario web, será la siguiente:
Finalidad/es
Se incluirá el propósito o propósitos que se persiguen con el tratamiento de sus datos de carácter personal.
Base jurídica del tratamiento
Cada formulario incluye la base jurídica que legitima del tratamiento de sus datos de carácter personal, tanto en aquellos casos en los que se trate de su consentimiento como cualquier otra base reconocida por la legislación vigente.
Destinatarios
Identidad o categorías de aquellos que puedan recibir la comunicación de sus datos de carácter personal.
Plazos de conservación de los datos o criterios para su determinación
Plazo o criterios para determinar el plazo durante el cual sus datos serán tratados para las finalidades comunicadas.
Existencia de decisiones automatizadas o elaboración de perfiles
Cabe la posibilidad de que utilicemos herramientas de segmentación con la finalidad de ofrecerle comunicaciones comerciales adaptadas a sus intereses. En el caso de que así sea, le ofreceremos información concreta al respecto en el formulario de la página web a través del cual facilite sus datos.
Forma de prestar el consentimiento
Tras su consentimiento para el tratamiento de sus datos, se le informará de la acción requerida para considerar que ha prestado dicho consentimiento.
Consecuencias de la no prestación del consentimiento
Cabe la posibilidad de que, si no nos presta su consentimiento, no podamos prestarle el servicio requerido.
Tratamientos en terceros países
En el caso de que sus datos vayan a ser tratados en países no pertenecientes a la Unión Europea, se le informará de la existencia o no de decisión de adecuación de la Comisión Europea y/o las garantías adoptadas para la protección de sus datos.
Ejercicio de sus derechos
Ver apartado 3.
Datos de contacto del Delegado de Protección de Dato o Data Protection Officer (DPO)
Ver apartado 4.
Información específica sobre el tratamiento de sus datos de carácter personal facilitados a través de cada apartado web.
Apartado “CONTACTO” https://www.ascires.com/hospital/contacto
Información adicional de protección de datos
Finalidad/es
La finalidad del tratamiento de los datos de carácter personal facilitados a través del presente formulario es la de resolver la consultar que nos plantea acerca de los productos, servicios e iniciativa del responsable. En el caso de que no acepte el tratamiento de sus datos de carácter personal, no podremos atender su consulta.
En el caso de que nos otorgue su consentimiento, sus datos serán tratados para mantenerle informado de las actividades, promociones y novedades empresariales, científicas y formativas.
Adicionalmente, podremos utilizar sus datos de forma anonimizada para realizar un seguimiento estadístico de nuestro servicio de atención al usuario, considerando que contamos con un interés legítimo en la mejora continua de los procesos internos de respuesta.
Destinatarios
Los datos de carácter personal que nos facilite a través de la página web no serán comunicados a terceros, salvo en el caso de que fuesen requeridos por una autoridad administrativa o judicial. No obstante, tendrán acceso a sus datos aquellas empresas que nos presten servicios que requieran de dicho acceso, como empresas de servicios informáticos o de desarrollo web. Todos ellos están obligados contractualmente a mantener la confidencialidad de sus datos y a no utilizarlos para otra finalidad distinta al servicio que nos prestan.
Sus datos no serán cedidos a terceros. No obstante, podrán tener acceso a sus datos proveedores que nos prestan servicios, como, proveedores de servicios médicos, investigadores científicos que colaboran con nosotros o empresas de servicios informáticos.
Si lo desea, puede solicitar un listado completo de las categorías de proveedores que tendrán acceso a sus datos en la dirección indicada en la presente Política.
Plazos de conservación
Sus datos serán tratados hasta la resolución de consulta. Posteriormente podrán ser conservados anonimizados con fines estadísticos y de mejora de la calidad del servicio.
Derechos
Puede ejercitar sus derechos de accesos, rectificación, supresión, oposición limitación y portabilidad, así como efectuar cualquier consulta acerca del tratamiento de sus datos de carácter personal, dirigiéndose al Data Protection Officer (DPO) a través de los siguientes canales:
Recuerde acompañar copia de DNI para que podamos verificar su identidad.
Puede obtener más información acerca de sus derechos en los apartados 3 y 4 de la presente Política.
En el caso de no estar conforme con el tratamiento de sus datos de carácter personal, puede dirigirse a la Agencia Española de Protección de Datos.
Apartado “TRABAJA CON NOSOTROS” https://www.ascires.com/hospital/trabaja-con-nosotros/
Información adicional de protección de datos
Finalidad/es
Gestionar su participación en los procesos de selección de personal de las entidades de Ascires. Es necesario que consienta el tratamiento de sus datos de carácter personal para esta finalidad, de lo contrario no podremos incluirle en los procesos de selección.
Destinatarios
Los datos de carácter personal que nos facilite a través de la página web no serán comunicados a terceros, salvo en el caso de que fuesen requeridos por una autoridad administrativa o judicial. No obstante, tendrán acceso a sus datos aquellas empresas que nos presten servicios que requieran de dicho acceso, como empresas de servicios informáticos o de desarrollo web. Todos ellos están obligados contractualmente a mantener la confidencialidad de sus datos y a no utilizarlos para otra finalidad distinta al servicio que nos prestan.
Plazos de conservación
Sus datos serán conservados durante un año, salvo que nos autorice a conservarlo durante un periodo superior durante los procesos de selección en los que participe.
Derechos
Puede ejercitar sus derechos de accesos, rectificación, supresión, oposición limitación y portabilidad, así como efectuar cualquier consulta acerca del tratamiento de sus datos de carácter personal, dirigiéndose al Data Protection Officer (DPO) a través de los siguientes canales:
Recuerde acompañar copia de DNI para que podamos verificar su identidad.
Puede obtener más información acerca de sus derechos en los apartados 3 y 4 de la presente Política.
En el caso de no estar conforme con el tratamiento de sus datos de carácter personal, puede dirigirse a la Agencia Española de Protección de Datos.
Derechos de los que dispone.
De conformidad con la legislación vigente, usted cuenta con una serie de derechos en relación con el tratamiento de sus datos de carácter personal. Estos derechos reconocidos son los siguientes:
Derechos de acceso y rectificación: Tiene derecho a conocer el uso que se hace de sus datos personales, y en particular, el derecho a obtener información sobre si éstos están siendo objeto de tratamiento y, en su caso, la finalidad del mismo, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
Asimismo, usted tiene derecho a solicitar la modificación y actualización de sus datos.
Derecho a la supresión: Tiene derecho a solicitar que sus datos se eliminen, siempre y cuando no prevalezcan otros motivos legítimos para la conservación de sus datos.
Derecho de oposición: Usted tiene derecho a oponerse al tratamiento de sus datos personales en cualquier momento, siempre y cuando no prevalezcan otros motivos legítimos para el tratamiento de sus datos.
Derecho a la portabilidad: Se trata del derecho a que sus datos de carácter personal le sean facilitados en un formato estructurado, de uso común y lectura mecánica. El derecho a la portabilidad e los datos de carácter personal procederá cuando:
Derecho a la limitación del tratamiento: Tiene derecho a limitar el tratamiento de sus datos personales, de tal forma que sólo puedan ser conservados por el responsable, sin que se posible realizar otro tratamiento o emplearlos para una finalidad distinta. El derecho a la limitación del tratamiento será procedente cuando:
Derecho a presentar una reclamación ante la autoridad competente: En el caso de no estar conforme con el tratamiento de sus datos de carácter personal, puede efectuar una reclamación ante la Agencia Española de Protección de Datos.
ASCIRES trabajará para responder sus solicitudes de ejercicio de derechos a la mayor brevedad, procediendo a ejecutar la petición a la mayor brevedad siempre y cuando resulte procedente en atención a las características del tratamiento de datos de carácter personal.
Delegado de Protección de datos o Data Protection Officer (DPO)
ASCIRES cuenta con un DPO designado ante la Agencia Española de Protección de Datos. Puede ejercitar sus derechos (ver apartado anterior), así como realizar cualquier consulta o sugerencia, contactando con el DPO de ASCIRES a través de:
Recuerde acompañar copia de DNI para que podamos verificar su identidad.
Seguridad de sus datos.
ASCIRES realiza un importante esfuerzo para garantizar la seguridad de sus datos y preservarlos de cualquier acceso no autorizado mediante la aplicación de medidas de seguridad informática y su actualización continua a fin de adecuarlo a los avances tecnológicos.
Acceso a sus datos por parte de terceros.
Los datos de carácter personal que nos facilite a través de la página web no serán comunicados a terceros, salvo en el caso de que fuesen requeridos por una autoridad administrativa o judicial. No obstante, tendrán acceso a sus datos aquellas empresas que nos presten servicios que requieran de dicho acceso, como empresas de servicios informáticos o de desarrollo web. Todos ellos están obligados contractualmente a mantener la confidencialidad de sus datos y a no utilizarlos para otra finalidad distinta al servicio que nos prestan.
Si lo desea, puede solicitar un listado completo de las categorías de proveedores que tendrán acceso a sus datos en la dirección indicada en la presente Política.
Dónde serán tratados sus datos de carácter personal.
Sus datos serán tratados en la Unión Europea, no obstante, cabe la posibilidad de que puedan ser transferidos a terceros países para la prestación de un servicio por parte de un proveedor. En tal caso, recibirá información específica acerca del proveedor, el país o países en el que sus datos serán tratados y las garantías ofrecidas para la protección de sus datos de carácter personal.
