Declaración de protección de datos / Declaración de privacidad sobre el tratamiento de datos personales en el contexto de la organización y gestión de reuniones y actos relacionados con proyectos financiados por la UE para participantes externos
La protección de su privacidad es de suma importancia para la Oficina de Propiedad Intelectual de la Unión Europea (en lo sucesivo, la «EUIPO»). La Oficina se compromete a respetar y proteger sus datos personales y a garantizar sus derechos como interesado. Todos los datos de carácter personal que le identifiquen, directa o indirectamente se tratarán de manera leal y lícita y con la diligencia debida.
Esta operación de tratamiento está sujeta al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.
La información contenida en la presente comunicación se facilita en cumplimiento de los artículos 15 y 16 del Reglamento (UE) 2018/1725.
1. ¿Qué naturaleza y qué finalidad tiene el tratamiento de datos?
Los datos personales se tratan cuando se organizan y se gestionan actos, incluidas reuniones, y se coordinan actividades de seguimiento, así como a efectos de responsabilidad proactiva, comunicación y transparencia. Esto puede incluir la inscripción y el alojamiento de los participantes de los actos, el apoyo logístico antes y durante el acto, la redacción y la distribución de actas, la grabación de entrevistas, la publicación en la web y en la revista interna o mediante otros canales de comunicación, como la emisión en continuo, y facilitar a los participantes más información sobre reuniones o actos en el futuro.
2. ¿Qué datos personales tratamos?
Antes y durante un acto, la Oficina trata los datos de identificación de los participantes para organizar y gestionar el acto. Entre ellos figuran: título (tratamiento), nombre, apellidos, nacionalidad, lugar de residencia, datos de contacto, número de identificación (p.e.j., número de pasaporte), dirección de correo electrónico, cargo, organización/institución, país, ciudad de salida, datos bancarios (para los reembolsos, si procede), datos de la tarjeta de crédito (para actos remunerados) y número de teléfono móvil en caso de emergencia. En función de la naturaleza del acto, también podrían solicitarse datos relativos a la salud, como necesidades de movilidad o dietéticas, alergias e intolerancias. Previa solicitud y consentimiento de los participantes, los datos de los miembros de la familia que acompañen del participante también podrán ser objeto de tratamiento, si resulta necesario en el marco de la organización logística de los actos (reserva de vuelos o alojamiento).
También se pueden realizar grabaciones sonoras, de vídeo o audiovisuales durante los actos, incluso durante las entrevistas y los talleres. Cuando se dé este caso, se podrán tratar imágenes o fotos, declaraciones, opiniones, etc., en función del tipo y de la finalidad de la grabación.
Si no desea aparecer en fotografías ni grabaciones, puede optar por no estar presente cuando estos se estén haciendo, o puede ponerse en contacto con el organizador del acto, el Departamento de Cooperación Internacional y Asuntos Jurídicos, o con el Servicio de Comunicación, que, en la medida de lo posible, se adaptarán a sus necesidades.
3. ¿Quién es responsable del tratamiento de los datos?
El tratamiento de datos personales es responsabilidad del director del Departamento de Cooperación Internacional y Asuntos Jurídicos (ICLAD), que actúa como responsable delegado del tratamiento de datos de la EUIPO y, en su caso, junto con el director del Departamento de Infraestructuras e Instalaciones (IBD) y el jefe del Servicio de Comunicación.
El tratamiento de los datos personales podrá llevarse a cabo por parte del personal autorizado del ICLAD, los equipos de representación interna, seguridad y logística del IBD, los proveedores de servicios externos (p.ej., la empresa de organización de actos Pomicilio Blumm), sus subcontratistas o la agencia de viajes contratada por la Oficina. En el caso de ciertos actos, el tratamiento de los datos personales también podrá llevarse a cabo por parte de los equipos internos del Servicio de Comunicación y sus proveedores externos.
4. ¿Quién tiene acceso a sus datos personales y a quién se comunican?
El acceso a los datos personales relacionados con participantes externos y visitantes se concede únicamente en función de la necesidad de conocerlos a un público compuesto principalmente por miembros del personal de la EUIPO, proveedores externos y sus subcontratistas. No obstante, en algunos casos específicos, algunos datos también pueden ponerse a disposición del público en general. Debido a las exigencias de información, los datos personales relativos a los participantes en determinados actos podrán ponerse a disposición de las delegaciones de la UE y de los miembros del personal autorizado de la Comisión Europea.
En la medida en que el acto requiera la asistencia, la cooperación, la participación o la implicación en modo alguno de organizaciones internacionales (p.ej., la OMPI), otros organismos de la UE (por ejemplo, la OCVV) u otras entidades tales como asociaciones profesionales, entidades gubernamentales nacionales u otras partes interesadas, podrán ponerse a disposición de los miembros del personal autorizado, incluidos los equipos delegados, datos personales de los participantes, como nombre, cargo y datos de contacto. Debido a la ubicación de dichas entidades, es posible que los datos personales se deban transferir a organizaciones internacionales o terceros países fuera del Espacio Económico Europeo.
Los datos personales también pueden ser accesibles a través de las herramientas de comunicación interna, tales como «Insite» —el sitio web interno de la Oficina—, «Backstage» —la revista interna—, los vídeos que se muestran en los actos o el programa de noticias de la EUIPO. En el contexto de las actividades de la Oficina, entre otros, se pueden poner a disposición del público a través de Internet imágenes, presentaciones, retransmisiones en directo o grabaciones de audio y vídeo de ponentes, participantes y organizadores.
Los destinatarios de los datos personales pueden variar según el tipo de grabación y el acto. Las finalidades pueden comprender desde la redacción de actas, pasando por la publicación en sitios web financiados por la UE y el sitio web de la EUIPO a efectos de comunicación o transparencia, hasta la publicación en la revista interna o la grabación con fines internos.
La información específica sobre los destinatarios exactos estará disponible, previa solicitud, en el Departamento de Cooperación Internacional y Asuntos Jurídicos, en el Servicio de Comunicación o en los archivos de los organizadores del acto.
5. ¿Cómo protegemos y salvaguardamos su información?
Adoptamos las medidas técnicas y organizativas adecuadas con el fin de salvaguardar y proteger sus datos personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados.
Todos los datos personales relacionados con la organización y la gestión de actos se almacenan en aplicaciones informáticas seguras de conformidad con las normas de seguridad de la Oficina, así como en carpetas electrónicas específicas a las que solo las personas autorizadas pueden acceder. El acceso a los sistemas y servidores de la Oficina está protegido y requiere un nombre de usuario y una contraseña autorizados. La información se almacena de forma segura, con el fin de salvaguardar la confidencialidad y la privacidad de los datos que contiene. Los documentos en papel se guardan bajo llave en armarios de seguridad.
Todas aquellas personas que en algún momento manipulen datos personales en el contexto de la organización y la gestión de actos deben firmar una declaración de confidencialidad.
Si un proveedor de servicios estuviera a cargo del tratamiento de los datos personales, el departamento pertinente de la Oficina, en calidad de responsable del tratamiento de datos, supervisará y comprobará la aplicación de las medidas de seguridad técnicas y organizativas necesarias a fin de velar por el cumplimiento del Reglamento (UE) 2018/1725.
6. ¿Cómo puede acceder a su información personal y, en caso necesario, corregirla? ¿Cómo puede recibir sus datos? ¿Cómo puede solicitar que sus datos personales se supriman, que se limite su tratamiento u oponerse a él?
Tiene derecho a acceder a sus datos personales y a rectificarlos, suprimirlos y recibirlos, así como a limitar y a oponerse al tratamiento de estos, en los casos previstos en los artículos 17 a 24 del Reglamento (UE) 2018/1725.
Si desea ejercer alguno de estos derechos, envíe una solicitud por escrito en la que especifique lo que solicita al responsable delegado del tratamiento, tal como se indica en la sección 9 a continuación.
Su solicitud recibirá una respuesta sin dilaciones indebidas y, en cualquier caso, en el plazo de un mes a partir de su recepción. Sin embargo, de conformidad con el artículo 14, apartado 3, del Reglamento (UE) 2018/1725, este plazo podrá prorrogarse hasta 2 meses, en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. La Oficina le comunicará dicha prórroga, así como los motivos del retraso, en el plazo de un mes a partir de la recepción de la solicitud.
Tenga en cuenta que retirar su consentimiento para el tratamiento de sus datos relativos a la salud no afectará a la legalidad de ningún tratamiento basado en su consentimiento antes de que este se haya retirado.
7. ¿Cuál es el fundamento jurídico para el tratamiento de sus datos?
Los datos personales se tratan de conformidad con los siguientes artículos del Reglamento (UE) 2018/1725:
- Artículo 5, apartado 1, letra a): «el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión».
- Artículo 5, apartado 1, letra c) «el tratamiento es necesario para el cumplimiento de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales».
- El artículo 5, apartado 1, letra d), que establece que «el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos» (aplicable únicamente a los datos relativos a la salud recogidos durante la inscripción en un acto). Estos datos solo se tratarán cuando el responsable del tratamiento reciba el consentimiento libre, específico, informado e inequívoco del interesado.
- Artículo 5, apartado 1, letra e), «el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física» (aplicable únicamente a números de teléfono móvil cuando se recopilan durante la inscripción en un acto).
Los datos personales se recogen y tratan de conformidad con las directrices de protección de datos para el tratamiento de datos personales con fines de organización y gestión de reuniones y actos de la EUIPO.
8. ¿Cuánto tiempo pueden conservarse los datos?
Los datos personales tratados por los responsables del tratamiento de datos o los proveedores de servicios que trabajan bajo su supervisión se conservarán únicamente durante el tiempo necesario para lograr la finalidad para la cual se tratan.
Los datos personales (nombre, número, puesto, organización, ciudad de salida, país, firma, datos necesarios para los reembolsos y los correspondientes datos bancarios) podrán almacenarse, en el case de actos organizados en el marco de acciones cofinanciadas por la Comisión Europea, durante un período de 5 años a partir de la fecha de finalización de la acción, incluida cualquier prórroga de la fecha de finalización del acuerdo de subvención correspondiente. También podrán conservarse hasta que haya concluido cualquier auditoría, verificación, recurso, litigio, reclamación o investigación en curso por parte de la OLAF.
El resto de los datos (a excepción de las direcciones de correo electrónico de los participantes) se borrarán transcurridos 6 meses de la celebración del acto, a más tardar. Los datos relativos a la salud se almacenan durante 6 meses si el participante no ha retirado su consentimiento, en cuyo caso los datos se borrarán de forma inmediata.
Las direcciones electrónicas pueden almacenarse durante un máximo de dos años tras la celebración del acto con el fin de garantizar que el organizador del acto puede ponerse en contacto con el participante en caso necesario (con la finalidad de reembolsar gastos u otras cuestiones relacionadas con la asistencia del participante).
No obstante, algunos datos personales (fotografías y grabaciones de audio, vídeo y audiovisuales de los actos) podrían conservarse para fines educativos, institucionales, históricos, informativos o promocionales (tanto interna como externamente) durante más tiempo si estos se han publicado en un sitio web de relevancia financiado por la UE, en la intranet o el sitio web de la EUIPO, o se han puesto a disposición a través de las redes sociales de la Oficina o en el portal de aprendizaje de la Academia. Si este fuera el caso, los datos personales se limitarán lo máximo posible, por ejemplo, conservando solo el nombre, los apellidos y las fotos.
9. Información de contacto
Si tiene alguna duda sobre el tratamiento de sus datos personales, puede dirigirla al responsable del tratamiento en la siguiente dirección de correo electrónico: DPOexternalusers@euipo.europa.eu.
Puede consultar al responsable de la protección de datos de la EUIPO, en: DataProtectionOfficer@euipo.europa.eu.
Formas de recurso
Si el responsable del tratamiento de datos o el responsable de la protección de datos no responden debidamente a su consulta, puede presentar una reclamación ante el Supervisor Europeo de Protección de Datos en: edps@edps.europa.eu.