Política de Privacidad – Protección de Datos

Objeto
El objetivo de la presente política de privacidad del Canal Ético del Grupo es informar del tratamiento de los datos que se llevará a cabo para la gestión y tramitación de las denuncias, así como de las consultas planteadas, que se puedan presentar a través del mismo.
Para la correcta configuración y diseño del Canal Ético, el Grupo da pleno cumplimiento a la normativa aplicable en materia de protección de datos, de manera especial al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Igualmente, el Canal Ético ha sido diseñado de conformidad con el Informe Jurídico 0128/2007 de la Agencia Española de Protección de Datos «Creación de sistemas de denuncias internas en las empresas (mecanismos de Whistleblowing)»; con el «Informe 1/2006 sobre la aplicación de las normas de protección de Datos de la Unión Europea a los mecanismos internos de Whistleblowing en el ámbito de la contabilidad y los controles internos de auditoría, la lucha contra la estafa y los delitos bancarios y financieros», del Grupo de Trabajo del Artículo 29 de la Comisión Europea; con el Informe Jurídico 0020/2022 de la Agencia Española de Protección de Datos (AEPD), el cual analiza el Anteproyecto de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas de lucha contra la corrupción; y de conformidad con el Informe Jurídico 0054/2023 de la AEPD, el cual analiza el art. 5.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas de lucha contra la corrupción.
 
Responsable del tratamiento de los datos
Angulas Aguinaga, S.A.U., o la empresa del Grupo que corresponda, es la responsable del tratamiento de los datos.
Dirección: Pol. Laskibar, 5. 20271, Irura (Gipuzkoa)
Toda persona denunciante o denunciada podrá dirigirse aquí para consultar cualquier cuestión relativa, estrictamente, al tratamiento de sus datos personales, así como para el ejercicio de sus legítimos derechos, tal y como se detalla en el apartado «Ejercicio de Derechos».
 
Tratamiento de sus datos personales y legitimación
Los datos personales que sean recabados en el Canal Ético serán tratados con la exclusiva finalidad de tramitar las denuncias y consultas que se reciban y, si procede, investigar la realidad de los hechos denunciados.
Tanto la persona denunciante como la denunciada serán informadas debidamente, en cada caso, de las personas y órganos concretos a los cuales se van a comunicar sus datos.

El tratamiento de datos en el marco del Canal Ético se lleva a cabo en cumplimiento de la obligación legal aplicable como responsable del tratamiento, a tenor del art. 30.2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, como es la gestión de un Canal Ético interno que tiene como objetivo la prevención y descubrimiento de posibles conductas que contravengan tanto la normativa legal vigente como la normativa interna del Grupo. Todo ello conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Tiempo de conservación de sus datos
Los datos de quien formule la denuncia, de la persona denunciada y terceras partes, serán conservados durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados, y en tal caso, durante el tiempo en el que ésta se mantenga abierta.

Por tanto, cuando se concluya la improcedencia de iniciar una investigación los datos serán bloqueados con carácter inmediato. Transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, se procederá a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. En cumplimiento del art. 32.3 de la referida Ley 2/2023, si se acreditara que la información facilitada o parte de ella no es veraz, se procederá a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

Del mismo modo, si su tratamiento resultase necesario para el desarrollo de la investigación, podrán seguir siendo tratados por el CEC o cualquier otro órgano interno al que se le atribuyan tales competencias.
¿A qué personas destinatarias se comunicarán sus datos?
En caso de que sea necesario o así se exija, los datos podrán ser comunicados a aquellas terceras partes a las que se esté legalmente obligado a facilitarlos, tales como Organismos Públicos, cuerpos y fuerzas de seguridad del Estado, Jueces y Tribunales.
Asimismo, el Grupo podrá contar con la colaboración de terceras empresas proveedoras de servicios que pueden tener acceso a sus datos personales y que tratarán los referidos datos en su nombre y por su cuenta. 
En relación con lo anterior se pone de manifiesto que el Grupo sigue unos criterios estrictos de selección de empresas proveedoras de servicios con el fin de dar cumplimiento a sus obligaciones en materia de protección de datos y se compromete a suscribir con ellas el correspondiente contrato de tratamiento de datos mediante el que les impondrá, entre otras, las siguientes obligaciones:
  • Aplicar medidas técnicas y organizativas apropiadas.
  • Tratar los datos personales para las finalidades pactadas y atendiendo únicamente a las instrucciones documentadas del Grupo.
  • Suprimir o devolverle los datos una vez finalice la prestación de los servicios.
En concreto, el Grupo podrá contratar la prestación de servicios por parte de empresas proveedoras que desempeñan su actividad, a título enunciativo y no limitativo, en los siguientes sectores: asesoramiento jurídico, empresas de servicios profesionales multidisciplinares, empresas proveedoras de servicios tecnológicos, empresas proveedoras de servicios informáticos o empresas de seguridad física.
De manera especial, en caso de que el Grupo opte por la externalización del Canal Ético en un tercero, deberá suscribir con éste el correspondiente contrato de encargado del tratamiento con todas las menciones exigidas por el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Las anteriores actuaciones no conllevarán la transferencia internacional de datos. No obstante lo anterior, si excepcionalmente fuera preciso llevar a cabo alguna actuación que sí pudiera conllevar una transferencia internacional, el Grupo dará previamente debido y estricto cumplimiento a las obligaciones de información y legitimación que establezca la legislación vigente en cada momento.
 
Ejercicio de los derechos
Las personas cuyos datos personales puedan llegar a ser tratados en el marco y contexto de un Canal Ético tienen los siguientes derechos:
  1. Tendrán derecho a obtener confirmación sobre si en el Grupo se están tratando sus datos personales o no en el marco de la gestión del Canal Ético, así como a solicitar el acceso, rectificación, limitación del tratamiento y, en su caso, solicitar su supresión, cuando, entre otros motivos, los datos ya no sean necesarios para la gestión del Canal Ético. Dicha solicitud se realizará mediante solicitud escrita acompañada de fotocopia del DNI en el domicilio de Angulas Aguinaga, S.A.U., sito en Pol. Laskibar, 5. 20271, Irura (Gipuzkoa), España, o a través de la dirección de correo gdpr@angulas-aguinaga.es.
  2. En determinadas circunstancias, a oponerse al tratamiento de sus datos personales.
  3. También podrá reclamar ante las Agencias Reguladoras de cada uno de los países de la Unión Europea accediendo a la siguiente página web: https://edpb.europa.eu/about-edpb/board/members_es.
Principio de proporcionalidad y minimización de datos
Como parte de las medidas de investigación, la persona encargada de la investigación podrá recopilar datos personales y categorías especiales de datos personales (por ejemplo, datos relativos a la salud, sobre una posible afiliación sindical, biométricos o sobre afiliaciones políticas o creencias religiosas) siempre y cuando la pertinencia sea manifiesta para tratar una denuncia específica. Por tanto, en ningún caso se recopilarán datos personales o categorías especiales de datos cuya pertinencia no resulte manifiesta para tratar la denuncia o si se recopilan por accidente, se deberá garantizar que se eliminan sin dilación indebida.
 
Principio de integridad y confidencialidad
Los datos personales serán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
 
Principio de limitación de la finalidad
Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
 
Medidas de seguridad y confidencialidad
El Grupo se asegurará de que se adopten todas las medidas técnicas y organizativas necesarias para preservar la seguridad de los datos recabados al objeto de protegerlos de divulgaciones o accesos no autorizados. 
A estos efectos, el Grupo ha adoptado medidas apropiadas para garantizar la confidencialidad de todos los datos y se asegurará de que los datos relativos a la identidad de la persona denunciante no sean divulgados y que tampoco se comunicará, además de al denunciado, a terceros salvo, en su caso, a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.