REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO (COMO RESPONSABLE DEL TRATAMIENTO)

Establece el art. 30 del Reglamento Europeo que cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Por su parte, el Considerando 82 del Reglamento (UE) 2016/679 indica que “para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”. Por otro lado, el art. 31 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, establece que “Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.”

A continuación se detalla el mencionado registro:

Responsable del Tratamiento: Consejo de Colegios Oficiales de Farmacéuticos de Castilla La Mancha (COFCAM)

Representante del Responsable: D. Francisco José Izquierdo Barba

Delegado de Protección de Datos: Legaltech Consulting S.L.U. / info@legaltech.es

Tratamiento: Clientes / Proveedores

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales;

Fines: Fichero de gestión de clientes, cuentas de clientes, registro de proveedores, contactos profesionales.

Categorías de interesados: Clientes, proveedores.

Categorías de datos personales: Datos identificativos de clientes: nombre, dirección, teléfono, cif/nif, email, servicios suministrados o realizados, datos mercantiles, retenciones, importes, datos bancarios, datos de pago, deudas pendientes, información comercial y transacciones de bienes y servicios realizadas. Datos de proveedores: datos identificativos, dirección profesional, email profesional, teléfono profesional.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: Administración pública en su caso.

Transferencias internacionales:

Plazos previstos para la supresión: los datos de facturación y contabilidad se conservarán por obligación legal tributaria y contable durante 6 años . Los datos de proveedores y de contactos profesionales se conservarán durante el periodo en el que dure la relación contractual, conservándose posteriormente bloqueados exclusivamente a los efectos de responsabilidades (en su caso con medidas de seudonimización o cifrado) o mientras nos obligue la legislación vigente.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Facturación / Contabilidad

Base jurídica: 6.1 c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Normativa tributaria. Ley 58/2003, de 17 de diciembre, General Tributaria

Fines: tratamiento relacionado con la gestión fiscal, gestión contable, cumplimiento con obligaciones relacionados con la hacienda pública, elaboración de impuestos trimestrales, gestión de contabilidad

Categorías de interesados: Clientes y proveedores.

Categorías de datos personales: Facturas emitidas y recibidas, información fiscal y contable. Recibos emitidos periódicamente a colegiados. Nombre, apellidos, dni nif nie, dirección, firma, teléfono, email, cuentas bancarias, datos familiares para retenciones, datos contables, datos fiscales.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: Agencia Española de Administración Tributaria / registros públicos / entidades bancarias.

Transferencias internacionales:

Plazos previstos para la supresión: los datos de facturación y contabilidad se conservarán por obligación legal tributaria y contable durante 6 años. Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria. 10 años en los supuestos indicados en la Ley Orgánica 7/2012 que modifica la Ley Orgánica 10/1995 del código digo penal en materia de transparencia y lucha contra el fraude fiscal.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Nóminas, Personal y Recursos Humanos

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 6.1 c) el tratamiento es necesario para el

cumplimiento de una obligación legal aplicable al responsable del tratamiento: obligaciones legales relacionadas con la gestión laboral y de prevención de riesgos laborales / cumplimiento con la obligación del Real Decreto Ley 8/2019, sobre registro horario / cumplimiento con el art. 20.3 del Estatuto de los Trabajadores 6.1 a) consentimiento para la gestión de Currículum Vitae. Otras bases y tratamientos relacionados con cumplimientos de obligaciones legales.

Fines: Tratamiento relacionado con la gestión laboral, emisión de nóminas y seguros sociales, finalidades internas administrativas, gestión de necesidades de personal a través del tratamiento del Currículum Vitae de solicitantes. Cumplimiento con la legislación vigente de prevención de riesgos laborales. Cumplimiento con la legislación vigente relativa a registro horario. Cumplimiento con las disposiciones legales que resulten oportunas: comunicación a la administración pública, etc

Categorías de interesados: datos de personal laboral. Solicitantes de puestos de trabajo.

Categorías de datos personales: datos identificativos y los referentes a la nómina de los empleados (importe líquido, devengos, retenciones, etc). Datos de registros a los programas de gestión. Información de carácter fiscal y laboral. Datos relacionados con las obligaciones de prevención de riesgos laborales. Currículum Vitae. Partes de baja. Accidentes laborales. Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, número de Seguridad Social/Mutualidad, dirección, firma y teléfono.

Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnósticos), justificantes de asistencia de propios y de terceros. Huella dactilar para control (dato biométrico).

Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: Fecha de alta y baja, licencias, permisos y autorizaciones.

Datos académicos y profesionales: Titulaciones, formación y experiencia profesional.

Datos económico-financieros: Datos económicos de nómina, créditos, préstamos, avales, deducciones impositivas baja de haberes correspondiente al puesto de trabajo anterior (en su caso), retenciones judiciales (en su caso), otras retenciones (en su caso). Datos bancarios.

Otros: registro horario.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: Seguridad Social, Agencia Española de Administración Tributaria y Administración Pública en general. Empresas que presten servicios relacionados con el cumplimiento de las obligaciones en prevención de riesgos laborales. Mutuas. Bancos y entidades financieras. En su caso, empresas que presten servicios de formación o entidades aseguradoras. Gestor laboral que presta servicios de gestión laboral.

Transferencias internacionales:

Plazos previstos para la supresión: finalizada la relación laboral, determinada documentación (registros o soportes informáticos en que se hayan transmitido los correspondientes datos que acrediten el cumplimiento de las obligaciones

en materia de afiliación, altas, bajas o variaciones que, en su caso, se produjera así como los documentos de cotización y los recibos justificativos del pago de salarios y del pago delegado de prestaciones) se conservará con las condiciones legalmente establecidas durante 4 años por obligación legal (Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social). Posteriormente, los datos se mantendrán debidamente bloqueados durante el periodo de prescripción establecido en el orden laboral. 1 año en relación al C.V. Igual plazo para los registros relacionados con el registro horario según Real Decreto Ley 8/2019, sobre registro horario.

Medidas técnicas y organizativas de seguridad: .

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Web

Base jurídica: 6.1 a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (marcación de la casilla específica en formulario, en su caso). 6.1 c) Cumplimiento con obligación legal Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio (gestión de servicios relacionados con ventanilla única). 6.1.b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales

Fines: tratamientos relacionados con la gestión del sitio web, gestión de formularios, cookies, información estadística del sitio web, contacto con redes sociales (Instagram, Twitter) etc. Gestión de los apartados privados dirigidos a farmacéuticos colegiados en sus respectivos colegios profesionales. Imágenes y videos en redes sociales de las secciones corporativas que esta entidad mantiene. Información general profesional. Trámites relacionados con la ventanilla única: alta, baja, vías de reclamación, etc.

Categorías de interesados: clientes, usuarios, proveedores (interesados que visiten el sitio web). Colegiados. Reclamaciones. Correo electrónico asociado al dominio.

Categorías de datos personales: identificativos, login password en acceso a zonas restringidas, cookies.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: empresa de desarrollo del sitio web. Subcontratista (hosting) del citado sitio web. Entidades responsables de las redes sociales (Facebook / Twitter).

Transferencias internacionales: Entidades responsables de las redes sociales (Facebook / Twitter). Las garantías actuales que actualmente proporcionan se basan en cláusulas contractuales tipo.

Plazos previstos para la supresión: respecto a las cookies, depende de cada una de ellas (ver política de cookies del sitio web). En cuanto a los datos de formularios, solo se conservan por un breve periodo de tiempo para dar respuesta a las solicitudes del cliente en su caso. Los datos relacionados con la sección privada se conservan mientras exista la situación de colegiado. Los datos relacionados con las sesiones de formación se conservan de forma indefinida.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Pleno del Consejo

Base jurídica: 6.1 c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Normativa relacionada con los colegios profesionales. 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales. Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. Ley 10/1999, de 26 de mayo, de Creación de Colegios Profesionales de Castilla-La Mancha

Fines: tratamientos de datos relacionados con los miembros de este órgano (elección de cargos, aprobación de líneas de actuación, aprobación de presupuestos liquidaciones balances y cuotas, aprobación de programas y planes generales de actuación, resolución de recursos de alzada

Categorías de interesados: miembros de este órgano

Categorías de datos personales: datos identificativos.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso.

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Comité Directivo

Base jurídica: 6.1 c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Normativa relacionada con los colegios profesionales. 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas

precontractuales; 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales. Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. Ley 10/1999, de 26 de mayo, de Creación de Colegios Profesionales de Castilla-La Mancha

Fines: tratamientos de datos relacionados con los miembros de este órgano en relación a las funciones que le confieren sus estatutos (gestión de la representación oficial del consejo, convocatoria de reuniones, disposición de fondos, etc).

Categorías de interesados: miembros de este órgano

Categorías de datos personales: datos identificativos.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso.

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Colegiados

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 6.1 c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. 6.1 f) Interés legítimo (tratamientos sometidos al derecho privado de colegiados relacionados con el envío de comunicados de tipo informativos sobre la actividad profesional). 6.1 f) Consentimiento (tratamientos sometidos al derecho privado de colegiados relacionados con el envío de comunicados de tipo informativos sobre la actividad profesional). 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales. Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. Ley 10/1999, de 26 de mayo, de Creación de Colegios Profesionales de Castilla-La Mancha. Ley 44/2003, de 21 de noviembre, de Ordenación de las Profesiones Sanitarias.

Fines: cobro de cuotas en relación al sistema de receta electrónica, cumplimiento con obligaciones de tipo administrativo, envío de información de carácter profesional, envío de comunicados relacionados con la participación del mismo en cuestiones del consejo, etc.

Categorías de interesados: colegiados

Categorías de datos personales: todos los datos necesarios relacionados con la colegiación y recogidos a través de los formularios específicos: datos identificativos y bancarios.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso. Bancos para la domiciliación de cuotas. Encargados del tratamiento (informática, gestión del sitio web, hosting/alojamiento) con las que se han regularizado los correspondientes contratos de privacidad.

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas. No obstante, se pueden conservar los datos de forma indefinida atendiendo a criterios históricos o científicos.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Cursos Jornadas Seminarios

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 6.1 a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

Fines: participación en jornadas relacionadas con la profesión. Correcta gestión de ponencias, organización de cursos y eventos, control de participación, facturación y gestión administrativa, etc

Categorías de interesados: colegiados, ponentes, interesados

Categorías de datos personales: datos identificativos, horarios, facturación, participación, fotografías, vídeos, etc.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales:

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de

derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Quejas, Sugerencias, Reclamaciones. Atención a los derechos de las personas

Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones públicas. Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales. Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.

Fines: Registro y tramitación de las quejas y sugerencias presentadas en relación con la actuación de esta entidad de acuerdo con lo previsto en la Ley 39/2015. Formulario existente en el sitio web o en soporte papel en la sede colegial

Categorías de interesados: personas que se dirigen a esta entidad colegial.

Categorías de datos personales: nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono y firma. Otros datos: los recogidos en la queja o sugerencia.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso. Encargados del tratamiento (informática, gestión del sitio web, hosting/alojamiento) con las que se han regularizado los correspondientes contratos de privacidad.

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Transparencia y Acceso a la Información

Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones públicas. Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.

Fines: Registrar y tramitar las peticiones de acceso a la información realizadas por los ciudadanos al amparo de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, siempre con los límites establecidos en los arts. 14 y 15.

Categorías de interesados: personas que se dirigen a esta entidad colegial.

Categorías de datos personales: nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono y firma.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso. Encargados del tratamiento (informática, gestión del sitio web, hosting/alojamiento) con las que se han regularizado los correspondientes contratos de privacidad.

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legales establecidas.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Protección de Datos

Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y normativa nacional que resulte de aplicación. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Fines: gestión de derechos de interesados relacionados con la normativa de protección de datos. Gestión y evaluación de las brechas de seguridad, evaluación de si se deben notificar, etc.. Registro de peticiones de derechos. Gestión de consultas, formación al personal, comunicados, etc.. Auditorías internas. Gestión de seguridad interna.

Categorías de interesados: trabajadores, usuarios, interesados.

Categorías de datos personales: nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono y firma. Derechos ejercitados. Quiebra de seguridad (persona que notifica).

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: AEPD en su caso. Responsable de privacidad. Delegado de Protección de Datos

Transferencias internacionales:

Plazos previstos para la supresión: durante los plazos de prescripción de las acciones legalmente establecidas. Hasta 3 años según art. 78 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Convenios de colaboración y colaboraciones con terceros

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 6.1 a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

Fines: archivo y gestión de convenios de colaboración con terceras empresas

Categorías de interesados: representantes de las empresas conveniadas o de colaboración

Categorías de datos personales: datos identificativos y profesionales.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: administración pública en su caso.

Transferencias internacionales:

Plazos previstos para la supresión: finalizado el periodo de vigencia que establezca el convenio en cuestión, durante los plazos de prescripción de las acciones legales establecidas.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Tratamiento: Encuestas Colegiados

Base jurídica: 6.1 a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (marcación de la casilla específica en formulario, en su caso).

Fines: gestión de encuestas que periódicamente podemos realizar a colegiados

Categorías de interesados: colegios farmacéuticos en colegios profesionales de Castilla La Mancha

Categorías de datos personales: identificativos

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: tercera entidad que proporcione la plataforma tecnológica para la realización de la encuesta.

Transferencias internacionales: no existen

Plazos previstos para la supresión: en la medida en que exista previsión legal al respecto.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO (COMO ENCARGADO DEL TRATAMIENTO)

Responsable del Tratamiento: Servicio de Salud de Castilla La Mancha (Sescam)

Tratamiento: Receta Electrónica

Base jurídica: RGPD: 6.1.e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

Fines: gestión del sistema de receta electrónica, según lo dispuesto en el “Acuerdo de Protección de Datos de Carácter Personal” entre responsable y encargado. Acceso a la Historia Clínica Electrónica a efectos de dispensación de la prestación farmacéutica y prestación con productos dietéticos por las oficinas de farmacia de Castilla La Mancha, y su posterior facturación al Sescam.

Categorías de interesados: colegiados, usuarios del sistema de receta electrónica, trabajadores

Categorías de datos personales: identificativos y relacionados con las acreditaciones de acceso, datos de salud de usuarios del sistema

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: encargados del tratamiento subcontratistas del Encargado del Tratamiento

Transferencias internacionales:

Plazos previstos para la supresión: los datos personales se conservarán durante el tiempo que sea necesario para cumplir con la finalidad para la que se recabaron, es decir, para la dispensación farmacéutica, y para la facturación de las dispensaciones al Sescam. Posteriormente los datos se eliminarán, no quedando ninguna copia en su poder.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

Responsable del Tratamiento: Mutualistas / terceras entidades

Tratamiento: Facturación a terceras entidades / mutuas

Base jurídica: RGPD: 6.1.e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

Fines: facturación, liquidación y distribución del importe de las prestaciones farmacéuticas dispensadas.

Categorías de interesados: colegiados, usuarios del sistema de receta electrónica, trabajadores

Categorías de datos personales: identificativos y relacionados con las acreditaciones de acceso, importes devengados, facturación.

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: encargados del tratamiento subcontratistas del Encargado del Tratamiento

Transferencias internacionales:

Plazos previstos para la supresión: en la medida en que exista previsión legal al respecto.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO (COMO CORRESPONSABLE DEL TRATAMIENTO)

Tratamiento: Curso deshabituación tabáquica / Programa Cesar

Corresponsable: Colegios oficiales de farmacéuticos de la comunidad autónoma de Castilla La Mancha

Corresponsable: Sociedad Española de Farmacia Familiar y Comunitaria (SEFAC) / Sociedad Española de Farmacia Familiar y Comunitaria en Castilla La Mancha (SEFAC Castilla La Mancha)

Base jurídica: 6.1 b) del RGPD. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

Fines: tratamientos relacionados con la gestión de la acción formativa ““Capacitación SEFAC en cesación tabáquica en la farmacia comunitaria”. Ambas entidades colaboran en la realización del curso y ambas tratan datos personales con finalidades específicas: gestión de asistencia, elaboración de documentación acreditativa, etc. Al respecto, se regulariza contrato entre ambas entidades.

Categorías de interesados: clientes, asistentes, profesores

Categorías de datos personales: Datos identificativos de interesados/alumnos y profesores del curso

Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales: entidades que presten servicios de hosting contratadas por parte de Sefac / Sefac CLM en relación a la gestión de la acción formativa a través de la plataforma online.

Transferencias internacionales:

Plazos previstos para la supresión: se conservarán durante el periodo en el que dure la relación contractual, conservándose posteriormente bloqueados exclusivamente a los efectos de responsabilidades (en su caso con medidas de seudonimización o cifrado) o mientras nos obligue la legislación vigente.

Medidas técnicas y organizativas de seguridad:

Estas medidas de seguridad se encuentran descritas en el documento “Política de Protección de Datos” de esta entidad. En lo que estrictamente implique tratamientos de datos relacionados con el derecho público (como corporación de derecho público), estas medidas de seguridad son las previstas en el Anexo II (Medidas de Seguridad) del Real Decreto 3/2010.