Activité thérapeutique n° 2

a) Nom de l'activité de traitement :

Notification et communication des violations de la sécurité des données personnelles à l'autorité de contrôle et aux parties intéressées

b) Étendue géographique de l'activité de traitement :

National

c) Nombre de parties concernées :

– Nombre précis de parties concernées (le chiffre le plus proche possible si le chiffre exact n’est pas disponible) : Il n’est pas possible de le quantifier, même approximativement.

– Proportion approximative de la population correspondante (en supposant un pourcentage pertinent de personnes dans un contexte ou une zone donnée) : LA QUANTIFICATION, MÊME APPROXIMATIVE, EST IMPOSSIBLE

d) Description des finalités du traitement :

– Traitement des données nécessaires à la notification et à la communication des violations de la sécurité des données à caractère personnel à l’autorité de surveillance et aux parties intéressées, conformément aux dispositions des articles 33 et 34 du Règlement général sur la protection des données.

e) Moyens utilisés pour la collecte des informations :

– Formulaire papier

– Formulaire Web

– Par voie électronique, le cas échéant.

f) Opérations spécifiques à effectuer sur les données personnelles :

- Collection

- Enregistrer

- Organisation

– Conservation ou stockage

- Consultation

– Communication par transmission

g) Base juridique du traitement / critère de légitimité :

– Le traitement est fondé sur le respect d’une obligation imposée au responsable du traitement par une réglementation juridiquement contraignante (préciser si possible) :

• Articles 33 et 34 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (Règlement général sur la protection des données). 

h) Si le consentement des personnes concernées est requis, identifier les moyens possibles de l’obtenir :

i) Description des catégories de parties intéressées :

– Les personnes physiques concernées par la violation de la sécurité des données personnelles.

j) Typologie des groupes ou catégories de parties intéressées :

-Parties concernées

k) Description de l'origine des données :

-Les données personnelles ont été obtenues par le biais des mécanismes de notification et de gestion des violations de sécurité mis en place par l'entité.

l) Typologie de l'origine des données :

-La partie intéressée elle-même

m) Description des catégories de données personnelles :

-Ensemble de données nécessaires à la notification et à la communication des violations de la sécurité des données personnelles à l'autorité de surveillance et aux parties intéressées, conformément aux dispositions des articles 33 et 34 du Règlement général sur la protection des données.

n) Classification des données à caractère personnel faisant l’objet d’un traitement :

-Adresse postale

-Adresse email

-NIF / DNI

-Nom et prénom

-Téléphone

- Caractéristiques et conséquences possibles d'une violation de la sécurité des données.

o) Zones d'accès aux données et type d'accès :

-Adresse

-Administration

p) Description des catégories de destinataires / transferts ou communications de données :

Communication de données n° 1

-Identité du destinataire : Agence espagnole de protection des données ou l’autorité de contrôle régionale compétente

-Type d'activité du destinataire : Autorité de contrôle de la protection des données

-Objet de la communication : Notification de la violation de la sécurité des données personnelles

q) Classification des transferts ou communications de données :

-Autorités de contrôle de la protection des données

r) Description des catégories de bénéficiaires dans les pays tiers ou les organisations internationales :

-Aucune production n'a lieu

s) Description des délais prévus pour la suppression des différentes catégories de données personnelles / durées de conservation :

Les données personnelles seront conservées pendant les délais de prescription des actions découlant de la relation juridique qui fonde le traitement, ainsi que pendant les durées et selon les modalités prévues par la législation sectorielle applicable. Ceci est notamment prévu pour les clients et utilisateurs d'activités réglementées, les membres, etc.

t) Processeurs de données :

Responsable des soins n° 1

-Nom du processeur de données : Audidat 3.0 SL.

-CIF/NIF : B02482545

-Adresse de notification : Paseo de la Castellana, nº 182 6ème étage, 28046 – Madrid (Madrid)

-Services à fournir :

• Services liés à la réglementation sur la protection des données

u) Détails des activités de traitement à haut risque :

Bloc de risque A – Dommages ou pertes économiques, moraux ou sociaux importants

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque B – Privation de droits et/ou de mécanismes de contrôle

-Le traitement peut priver les personnes concernées de leurs droits et libertés ou les empêcher d'exercer un contrôle sur leurs données personnelles

Bloc de risque C – Traitement des catégories particulières de données personnelles

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque D – Création ou utilisation de profils d’utilisateurs personnels

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque E – Données des personnes particulièrement vulnérables

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque F – Volume de données

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque G – Transferts vers des États tiers

-En principe, aucun risque spécifique ne ressort de cette section.

Bloc de risque H – Autres hypothèses de risque

-En principe, aucun risque spécifique ne ressort de cette section.

v) Niveau de risque :

- Risque élevé