Registro de Actividades del Tratamiento (RAT) | ESIC
Actualizada el 10/12/2024
Este registro complementa y completa el Aviso legal, de privacidad y cookies, a través del cual se ofrece información sobre la identidad de los responsables del tratamiento y los derechos de las personas interesadas y cómo ejercitarlos.
En cada una de las actividades registradas se indica si el responsable es ESIC University (también denominada ESIC Universidad o FESIC) y/o ESIC BS (también denominada ESIC Business & Marketing School), así como los casos en los que ambas son corresponsables. La sola mención a "ESIC" únicamente hace referencia a la red de entidades educativas de la que ESIC University y ESIC BS forman parte, pero no identifica a ningún responsable del tratamiento en concreto.
A lo largo del registro se usan estas abreviaturas: RGPD (Reglamento general de protección de datos); LOPD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales); EIPD (evaluación de impacto sobre la protección de datos); PDI (personal docente e investigador); PAS (personal de administración y servicios); y RRHH (departamento de Recursos Humanos).
El responsable analiza la navegación y el comportamiento de los usuarios de los sistemas de información, con el objetivo de conocer qué uso se da a sus herramientas y adaptarlas a las necesidades, así como para mejorar sus actividades de comunicación, comercialización y atención a las personas.
En actividades de marketing directo (incluida la elaboración de perfiles), el tratamiento se puede basar en el interés legítimo del responsable (art. 6.1.f) y Considerando 47 RGPD).Responsable | Responsables independientes en el aula virtual y en las comunicaciones realizadas a PDI (Personal Docente e Investigador) y PAS (Personal de Administración y Servicios) por necesidades vinculadas con el cumplimiento del contrato, así como en otros medios de comunicación que gestionen de manera independiente: ESIC BS y ESIC University. Responsables independientes para el análisis de datos extraídos al abrir e interactuar con los correos electrónicos. Corresponsables en canales de comunicación propios comunes (misma web): ESIC BS (principal) y ESIC University. |
Base jurídica | En el caso de PDI y PAS y solo en la medida en el que la ejecución del contrato lo justifique: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). En otros casos, ESIC Play incluido: el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). Para la obtención de estos consentimientos se informará al interesado de forma separada a cualquier contrato de compra-venta, condiciones generales o contrato de servicios. Este tratamiento se realiza sobre los datos de navegación extraídos tanto del sitio web, como de apps, etc. |
Fines del tratamiento | En el caso de que el tratamiento analítico tenga su base en la ejecución de un contrato, se llevará a cabo la analítica necesaria para la ejecución del contrato: en el caso de los PDI, se analizará, por ejemplo, el número de veces que cada uno ha accedido a la documentación del aula virtual o si se la descarga, para conocer e impulsar su actividad de aprendizaje; y en el caso de los PAS, el responsable podrá obtener, por ejemplo, el acuse de recibo de que han accedido a las comunicaciones de seguridad de la información que el responsable les remita, sin que se lleve a cabo tratamiento adicional alguno por este motivo. En el resto de los casos, cuando se requiera aceptación previa por parte del interesado, la finalidad del tratamiento analítico de datos personales será:
|
Colectivo | Usuarios que accedan a sitios web, aplicaciones, o perfiles sociales de los que sea titular o estén gestionados por el responsable, así como los que abran o respondan a comunicaciones remitidas por el responsable. |
Categorías de datos | Los prestadores de servicios analíticos agregan los datos que obtienen para ofrecer al responsable información cuantitativa sobre la navegación y el comportamiento de las personas, sin que sea posible identificar a la persona concreta. Los datos tratados son:
|
Categoría destinatarios | No están previstas comunicaciones de datos. |
Encargados del tratamiento: | Google LLC - Google Analytics - https://analytics.google.com/analytics/web/ |
Transf. Internacional | El encargado del tratamiento es Google Irlanda y por subencargo Google LLC, 1600 Amphitheatre Parkway Mountain View, CA Estados Unidos. Medida de seguridad: acuerdo de protección de datos con cláusulas tipo a través de Google Workspace (antes, GSuite). https://privacy.google.com/businesses/processorterms/
|
Plazo supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional | No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Para actividades de mercadotecnia y elaboración de perfiles, se ha realizado una prueba de sopesamiento del interés legítimo del responsable en esa actividad. En todo los tratamientos se utilizan y siguen los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Etiquetado de usuarios en función de su actividad en la web, en las sedes y a través de creatividades publicitarias con el fin de remitirle publicidad y contenidos promocionales adaptados a sus preferencias.
Responsable |
Responsables independientes: ESIC BS y ESIC University. |
Base jurídica |
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). Para la obtención de estos consentimientos se informa previamente al interesado, de forma separada a cualquier contrato de compra-venta, condiciones generales o contrato de servicios. |
Fines del tratamiento |
Etiquetado de usuarios en función de su actividad en la web, en las sedes y a través de creatividades publicitarias, con el fin de remitirle publicidad y contenidos promocionales adaptados a sus preferencias. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
No se prevén cesiones de datos. |
Encargados del tratamiento: |
La actividad se podrá realizar a través de encargados de tratamiento. Puede solicitarse más información en la formas establecidas en este documento. ESIC BS presta el servicio a ESIC University. |
Transf. Internacional |
No están previstas transferencias internacionales |
Plazo supresión |
Hasta que el interesado solicite la baja o la supresión de sus datos. |
Información adicional |
No se requiere para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y siguen los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Envío de mensajes personalizados con contenido publicitario y promocional, con el objetivo de captar nuevos alumnos.
Responsable |
Responsables independientes: ESIC BS y ESIC University. |
Base jurídica |
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). |
Fines del tratamiento |
Envío de comunicaciones publicitarias o promocionales por vía electrónica, postal y telefónica. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
No se prevén cesiones de datos personales. |
Encargados del tratamiento: |
Marketing cloud Salesforce. Agentes comerciales: Cuando los fines comerciales lo aconsejan debido a la localización del interesado y las oportunidades que el responsable le pueda ofrecer en su entorno, se podrán comunicar datos a agentes comerciales (que actuarán como encargados) con los que el responsable ha establecido y mantiene medidas de seguridad adecuadas al nivel de riesgo para los datos personales a través de contratos de encargado del tratamiento y sobre los que realiza comprobaciones periódicas. Plataformas de audiencias afines (Facebook Audience Insights; LinkedIn Lookalike Audience for Ad Targeting; y Google Custom Affinity Audiences) a los que el responsable permite el acceso a datos con la única finalidad de que muestre publicidad segmentada a otros usuarios afines. |
Transf. Internacional |
Se podrán realizar transferencias internacionales a los encargados del tratamiento en los casos en que proceda, siempre conforme a las normas establecidas en el RGPD. |
Plazo supresión |
Envío de comunicaciones a clientes: se conservarán los datos para esta finalidad mientras exista expectativa razonable, por parte del receptor de los mensajes, de seguir recibiendo comunicaciones publicitarias o promocionales. Envío de comunicaciones previa solicitud o autorización expresa: se mantendrán los datos para esta finalidad hasta que el usuario retire su consentimiento. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y siguen los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable realiza encuestas y consultas a diferentes colectivos incluidos en sus tratamientos para elaborar informes sobre diferentes ámbitos y materias, incluyendo: (i) su posicionamiento en el mercado; (ii) para conocer el desempeño de los profesionales docentes y de los programas; (iii) y para conocer la satisfacción del alumnado y las personas participantes en programas y actividades del responsable.
En determinados supuestos, la realización y/o ejecución de esas encuestas puede ser de obligatorio cumplimiento para el Responsable, en orden a acreditarl el cumplimiento de los requisitos de calidad y de transparencia así como en orden a la obtención y/o renovación de autorizaciones administrativas para la impartición de enseñanzas que requieren la publicación de las mismas y/o de la formación de los Profesores de las distintas enseñanzas.
Finalmente, en el caso de las encuestas, en ocasiones es necesario conocer datos del participante, de manera que pueda vincular la información a su persona, sin perjuicio de que para la mayoría de los casos pueda anonimizar la información por medio, entre otras técnicas, de la agregación de datos.
Responsable |
Responsables independientes: ESIC BS y ESIC University. |
Base jurídica |
Recopilación y gestión de datos:
Normativa de aplicación:
Tratamiento de anonimización de datos sobre participantes en actividades del responsable:
|
Fines del tratamiento |
Recopilación y gestión de datos para:
|
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
No se prevén otras cesiones de datos personales. |
Encargados del tratamiento: |
Empresas de gestión de encuestas |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Las valoraciones sobre los docentes quedarán unidas a su ficha de empleado. |
Información adicional |
Conforme se establece en la normativa universitaria y de transparencia, parte de los datos recabados son publicados en la página web del responsable a efectos de cumplimiento de estándares de calidad para la obtención y renovación de autorizaciones universitarias. No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. A pesar de no ser necesaria se ha elaborado una EIPD, los procesos de anonimización quedarán documentados antes de iniciarse, con el objetivo de garantizar la irreversibilidad. Se utilizan y siguen los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Los responsables realizan la comercialización y venta de sus servicios docentes de grado y postgrado a través de medios electrónicos o en parte presenciales y electrónicos. También realizan la venta de productos promocionales, físicos y electrónicos, a través de la tienda virtual y la venta de libros y otro material docente a través de ESIC Editorial.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). En concreto, el correspondiente a la compra-venta de productos o servicios al por menor. Normativa de aplicación: Ley del Comercio Minorista (estatal y autonómicas) y Ley de Consumidores y Usuarios. |
Fines del tratamiento |
Para la venta de productos y servicios, tanto en tienda online como a través de gestiones presenciales, se recaban datos con las siguientes finalidades:
|
Colectivo |
|
Categorías de datos |
Datos identificativos: nombre y apellidos, DNI, dirección electrónica, dirección física, teléfono. |
Categoría destinatarios |
Entidades financieras. Administración Tributaria. |
Encargados del tratamiento: |
Empresas de transporte de mercancías. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, además de los periodos establecidos en la normativa de archivos y documentación. 5 años en virtud del Código Civil (art. 1964) para las acciones personales sin plazo especial y, cuando procesa, 10 años en virtud de la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (art. 25). |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable promociona sus actividades (docentes, de investigación y otras) a través de sorteos, rifas y otros juegos de combinaciones aleatorias con fines publicitarios o promocionales, así como a través de otras acciones sin azar como regalos directos y concursos con jurado. Esta actividad de tratamiento está relacionada, según lo que se indique en las bases, con las actividades de toma y uso de fotografías y vídeos, así como de envío de comunicaciones comerciales publicitarias y promocionales.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). Una vez registrado en la actividad, el tratamiento de datos de los interesados es necesario para la ejecución de un contrato en el que éste es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD) |
Fines del tratamiento |
|
Colectivo |
Participantes en actividades de promoción, concursos o sorteos |
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Entidades colaboradoras en la gestión de los concursos y rifas. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Otras actividades de tratamiento vinculadas (accede a ellas para obtener más información): Fotografía y vídeo: en los casos en los que así se establezca, se publicarán algunos datos personales de los ganadores, incluidos sus nombres y apellidos, localidad, relación con el responsable, contenido compartido y su imagen (foto o vídeo) para garantizar la transparencia de la promoción, concurso o sorteo. Envío de comunicaciones comerciales: en los casos en los que así se establezca, para participar en la actividad de promoción el interesado deberá ser receptor de comunicaciones comerciales publicitarias o promocionales del responsable. El consentimiento para este tratamiento se obtendrá de forma separada al de la actividad de promoción. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Toma de fotografía y grabación de imagen y/o voz para (1) actividades docentes y de creación de la ficha de alumnos o de personas trabajadoras; (2) su publicación en libros de promoción, orlas y aula virtual; y para (3) fines publicitarios o promocionales del responsable.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
Para el caso de los PDI (Personal Docente e Investigador) y PAS (Personal de Administración y Servicios): en relación con la gestión de su ficha, las acreditaciones u otros supuestos específicos, y para el caso de los ponentes en eventos y congresos, el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del Reglamento General de Protección de Datos). Para el caso de las grabaciones y emisiones de las intervenciones de los asistentes a eventos concretos: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (art. 6.1.f RGPD). En el caso de grabación de las clases, el tratamiento se basa en la necesidad de asegurar y garantizar la función educativa en relación con los alumnos afectados y el cumplimiento de una misión en interés público (ex. art. 6.1.e) RGPD) así como las previsiones establecidas por las autoridades sanitarias y educativas, sin que sea necesario el consentimiento de los afectados. Para las demás finalidades , es necesario el consentimiento de los interesados:
|
Fines del tratamiento |
Toma de fotografías y grabación de imágenes y voz para:
|
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Las grabaciones de clases solo serán para los alumnos durante el período establecido, así como para la evaluación de la calidad de la enseñanza. En el caso de eventos y similares, los datos serán publicados en las páginas y sitios web del responsable y cedidos a medios de comunicación, cuando se haya obtenido consentimiento por parte del interesado para estos tratamientos o, en su caso, cuando sea necesario para la ejecución de un contrato en el que el interesado es parte o se tenga que satisfacer el interés legítimo antes indicado del responsable. En el caso de publicación en redes sociales, pueden ser aplicables las condiciones de uso de éstas. No se prevén otras cesiones de datos personales. |
Encargados del tratamiento: |
Empresas y agencias de gestión de contenidos, edición y entrega de material audiovisual. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos tomados para actividades docentes o por causa de un contrato, se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En el resto de casos, se mantendrá el tratamiento de los datos personales hasta que el usuario retire su consentimiento. En el caso de que los datos se hubieran publicado en sitios web de terceros o en medios de comunicación ajenos al responsable, el ejercicio de los derechos puede obtener como respuesta la imposibilidad de suprimir de forma efectiva los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Actividades extracurriculares, como visitas a museos y empresas de terceros o la inscripción en carreras populares (Carrera Empresas, ESIC Virtual), gestión de actividades deportivas para los alumnos federadas, municipales y amateur. Las actividades pueden estar restringidas a un colectivo concreto.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El responsable trata los datos personales en virtud de las siguientes bases de legitimación: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). Para tratamientos y cesiones de datos que no sean necesarias para la ejecución del contrato: el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). |
Fines del tratamiento |
Control de asistencia a las actividades. Cesión de los datos al responsable colaborador y terceros, cuando sea necesario para la ejecución del contrato. Cesión de los datos a otros responsables, con autorización del interesado |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Empresa colaboradora, según la actividad. |
Encargados del tratamiento: |
En su caso, Empresas de gestión de actividades deportivas. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Previo consentimiento de la persona que se inscriba, los datos podrán ser conservados para futuras acciones. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Este tratamiento es adicional y complementario al de gestión de alumnos, así como al resto aplicable a los alumnos, y tiene como objeto procurar un ambiente de aprendizaje basado en la igualdad de oportunidades y la equidad, más cercano y adaptado a todas las necesidades.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). |
Fines del tratamiento |
Garantizar la igualdad de condiciones en las actividades de aprendizaje atendiendo a las necesidades educativas especiales.
|
Colectivo |
|
Categorías de datos |
Datos identificativos:
|
Categoría destinatarios |
No se prevén cesiones de datos personales. |
Encargados del tratamiento: |
No se prevén encargados del tratamiento de datos personales |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
Se realizó un análisis de riesgos y una Evaluación de Impacto de Protección de Datos (EIPD) en el año 2022. Se deberá revisar periódicamente para evaluar el impacto y riesgo de este tratamiento, según su evolución. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Estudio, valoración y gestión de becas y ayudas ofertadas y concedidas a alumnos de ESIC.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. (art. 6.1.e del RGPD). |
Fines del tratamiento |
Estudio, valoración y gestión de las becas y ayudas al estudio convocadas por el responsable u otras entidades, que han sido ofertadas y concedidas al alumnado de ESIC. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Gestión del perfil del estudiante para controlar su asistencia a las diferentes actividades docentes y, a través de pruebas, la calidad de su aprendizaje. Este tratamiento se realiza sobre todo tipo de alumno: de grado, de posgrado, con y sin necesidades especiales, de idiomas y de cualquier otra modalidad educativa prestada por los responsables.
Esta actividad de tratamiento puede estar vinculada con otras propias del responsable, tales como actividades analíticas, comerciales, extracurriculares, etc.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. |
Fines del tratamiento |
Entrevista al alumno para evaluar su perfil y, en su caso, sugerir o conceder acceso a programas concretos de formación. Gestión de la matriculación, presencial u online. Gestión del perfil del estudiante para controlar su asistencia a las diferentes actividades docentes y, a través de pruebas, la calidad y evaluación de su aprendizaje. Seguimiento académico y administrativo de los alumnos en sus diferentes fases relacionadas con las actividades del responsable. Gestión de los datos personales del alumno, necesarios para la prestación de servicios complementarios (herramientas informáticas asociadas a la docencia, sistemas antiplagio en exámenes, trabajos y actividades, MS Office 365, campus virtual y acceso a grabaciones de clases, etc.). Gestión de expedientes en el ámbito de la Convivencia Universitaria. Organización de los procesos electorales de representación del alumnado. Gestión de los datos personales del alumno y, en su caso, representantes legales para los procesos de facturación, cobros y otros procedimientos administrativos. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Ministerio con competencia en Universidades. En su caso, Consejerías de las Comunidades Autonómicas con competencias en Educación. Otras autoridades académicas de la Comunidad de impartición del título. En el caso de los responsables del pago de las tasas e importes correspondientes a las matrículas/títulos de los alumnos, éstos podrán tener acceso a datos limitados sobre el rendimiento académico del alumno. |
Encargados del tratamiento: |
En su caso, colaborares externos docentes. No se prevén otros encargados de tratamiento. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. Para los alumnos que realicen estancias en el extranjero, debe comprobarse la Actividad de Tratamiento “Relaciones Internacionales”. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En el caso de expedientes académicos, se mantendrán con carácter indefinido. |
Información adicional |
Las operaciones de tratamiento correspondientes al control de evaluaciones, exámenes y/o trabajos/artículos/proyectos (en remoto y/o presenciales) podrán ser objeto de aplicaciones y/o programas anti-plagio o anti-fraude. En el caso de exámenes/evaluaciones en remoto podrán ser realizadas mediante aplicaciones de detección y/o reconocimiento facial, de manera voluntaria para el alumno. Se han realizado dos EIPD en los meses de mayo y noviembre de 2023. No se toman decisiones automatizadas en esta operación. Los profesores y alumnos disponen de toda la Información al respecto en el campus virtual. Puede solicitar información adicional al Delegado de Protección de Datos. Se realizará una revisión y/o una actualización de las EIPDs realizadas siempre que sea necesario o se introduzcan modificaciones sustanciales en las herramientas anti-plagio/anti-fraude utilizadas. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Gestión y control de accesos a la biblioteca, altas y bajas de usuarios y administración de préstamos de publicaciones y libros depositados en la biblioteca, reserva de salas y equipos informáticos.
Gestión y control de accesos a la biblioteca, reserva de salas, de equipamiento y préstamos de los fondos y recursos de la Biblioteca (libros o publicaciones, en cualquier soporte que estén) depositados en la biblioteca del responsable. Análisis funcional del uso de la biblioteca por parte de cada uno de sus usuarios, con el objeto de conocer si se hace o no uso de las instalaciones y los recursos vinculados y, en su caso, cuáles se deben mantener y cuáles mejorar o cambiar. El responsable podrá retirar el permiso de acceso a la biblioteca a aquella persona que incumpla las normas o que no la use durante el plazo establecido en las condiciones de uso.
Responsable |
ESIC y Excmo. Ayuntamiento de Pozuelo de Alarcón. |
Base jurídica |
Para el registro de usuarios de la Biblioteca Municipal, reserva de salas, de equipamiento y el préstamo de libros, el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b RGPD). Para el análisis funcional del uso de la biblioteca, el tratamiento es necesario para la satisfacción de este interés legítimo perseguido por el responsable del tratamiento (art. 6.1.f RGPD). Para el tratamiento de datos del control de acceso a las instalaciones, a través del sistema establecido en cada momento, se requiere el consentimiento del usuario (art. 6.1.a RGPD). |
Fines del tratamiento | |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Ayuntamiento de Pozuelo de Alarcón, Madrid, como responsable del tratamiento de los usuarios de la Biblioteca Municipal. |
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No están previstas transferencias internacionales de los datos. |
Plazo supresión |
Los datos de usuarios del servicio se conservarán en el sistema de forma indefinida en tanto el interesado con un plazo máximo de un (1) año desde la última interacción con él. Los datos de los préstamos se cancelarán una vez hayan finalizado. Se aplican normas de conservación y archivo documental. |
Información adicional |
Se ha realizado EIPD para el tratamiento de control de acceso a las instalaciones. No se requiere actuaciones adicionales para el resto de tratamientos, por la naturaleza de los datos tratados y tal y como su responsable los ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). Este servicio se ofrece bajo el contrato de servicios formativos que el alumno haya formalizado con ESIC BS o con ESIC University |
Fines del tratamiento |
Mentorización y asesoramiento a alumnos y antiguos alumnos para su desarrollo profesional. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Profesionales externos: Mentores y entrenadores o “coaches”. |
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Bootcamp online de Aceleración en Emprendimiento es un programa de asesoramiento e impulso de proyectos para emprendedores.
Responsable |
ESIC BS |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). Este servicio se ofrece bajo el convenio que se formalice para participar en el Bootcamp online de Aceleración en Emprendimiento. |
Fines del tratamiento |
Mentorización y asesoramiento a alumnos y antiguos alumnos para su desarrollo profesional. Mentorización, asesoramiento e impulso profesional a emprendedores. |
Colectivo |
Emprendedores |
Categorías de datos |
|
Categoría destinatarios |
Mentores y entrenadores “coaches”. Empresas y sus empleados interesados en los perfiles y proyectos de los usuarios. |
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
Las empresas interesadas en conocer los proyectos o invertir en ellos pueden estar en terceros países. En estos caso, se aplicarán las normas sobre TID. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El portal de empleo (para candidatos) es uno de los servicios ofrecidos por las Unidades de Desarrollo Profesional (UDP) de ESIC BS y ESIC University.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
Candidatos: Creación del perfil de candidato y su mantenimiento: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). Verificación por parte del responsable de la veracidad de los datos académicos vinculados con los estudios que el interesado diga haber cursado en ESIC BS o en ESIC University, el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. Comunicación de datos a las empresas inscritas, el interesado da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). Empresas: El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). |
Fines del tratamiento |
Puesta en contacto de candidatos y empresas con el objetivo de aumentar la empleabilidad de los alumnos del RESPONSABLE. Candidatos: Gestión de perfiles de candidatos. Comprobación de veracidad de los datos académicos vinculados con estudios en ESIC BS y en ESIC University. Comunicación de datos personales a las empresas inscritas. Empresas: Mantenimiento actualizado de los datos de contacto de los responsables de las sociedades inscritas. |
Colectivo |
|
Categorías de datos |
1. Candidatos
2. Empresas:
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Encargado del tratamiento: DOS PUNTOS AN INTERNET COMPANY, S.L. - DOUBLE -DOT NIF: B85406692 (gestión del portal). |
Transf. Internacional |
Los datos podrán ser accedidos por las empresas inscritas en el portal, que pueden estar en terceros países. |
Plazo supresión |
Se conservarán hasta que el interesado solicite la baja o la supresión de sus datos y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Sistema automático de renovación cada cierto período de tiempo (máx. 3 años). |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Para velar por el respeto a los derechos y las libertades de los profesores, estudiantes y personal de administración y servicios, ante las actuaciones de los diferentes órganos y servicios universitarios, ESIC University ha establecido en su estructura organizativa la figura del Defensor Universitario, conforme establece la Disposición adicional decimocuarta de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades y el artículo 46 del Real Decreto 1791/2010, de 30 de diciembre, por el que se aprueba el Estatuto del Estudiante Universitario. Sus actuaciones, siempre dirigidas hacia la mejora de la calidad universitaria en todos sus ámbitos, no están sometidas a mandato imperativo de ninguna instancia universitaria y vienen regidas por los principios de independencia y autonomía.
Responsable |
ESIC University |
Base jurídica |
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. (art. 6.1.e del RGPD). |
Fines del tratamiento |
Atención y tramitación de quejas, consultas y reclamaciones con objeto de velar por el respeto a los derechos y las libertades de los profesores, estudiantes y personal de administración y servicios. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y como máximo 2 años desde la resolución del asunto, así como el tiempo necesario para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Gestión de los datos personales del alumnado, egresados y personas interesadas en pertenecer a la Asociación de Antiguos Alumnos y ALUMNI ESIC y participar en sus actividades.
Responsable |
Corresponsabilidad ESIC BS y ESIC University |
Base jurídica |
Formalización de la adhesión al Grupo de Alumni e ingreso en la Asociación de Antiguos alumnos: El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). En el caso de cesión de datos (de ESIC BS o ESIC University a ESIC BS+ESIC University): El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). |
Fines del tratamiento |
Gestionar las inscripciones en la lista de antiguos alumnos. Comprobación de datos para certificar su vínculo con ESIC BS o con ESIC University. Gestionar asuntos relacionados con la experiencia de los miembros del Grupo de Antiguos Alumnos. Remitir información propia del Grupo de Antiguos Alumnos. Remitir información sobre otras actividades: formación, experiencia extracurricular, deporte, etc. Gestión de la Asociación de Antiguos Alumnos. Gestión de correo electrónico, herramientas colaborativas , hospedaje de sitios web y almacenamiento que se puede ofrecer al colectivo de interesados. |
Colectivo |
Antiguos alumnos de ESIC BS y de ESIC University |
Categorías de datos |
|
Categoría destinatarios |
No se prevén cesiones de datos personales |
Encargados del tratamiento: |
Empresas con las que se llegue a acuerdos para gestión de promociones y descuentos. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Hasta que el interesado solicite la baja o la supresión de sus datos, permaneciendo desde ese momento bloqueados en la forma antes indicada. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable gestiona los pagos, cobros, recobros y, en su caso, devoluciones, así como la gestión económica de becas.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
|
Fines del tratamiento |
Gestión necesaria de datos personales para llevar a cabo los pagos, cobros, recobros y, en su caso, devoluciones, así como la gestión económica de becas. Registro y comprobación de datos relativos a IVA, IRPF, altas en Hacienda y en Seguridad Social, certificados bancarios, etc. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Empresas y despachos de gestión de cobros y recobros |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En función del caso se podrán conservar durante estos plazos:
|
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Gestión de la documentación jurídica, revisión de títulos, reclamaciones, litigios y otras actuaciones de la asesoría jurídica del Responsable. Defensa y representación del Responsable en procedimientos de cualquier fuero y jurisdicción, de asesoramiento y de resolución de conflictos, en vía judicial o extrajudicial.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Responsable (art. 6.1.c RGPD). |
Fines del tratamiento |
Registro y gestión por el responsable de asuntos de índole jurídica, así como la prestación interna, también a este, de servicios jurídicos o de consultoría legal en sus diferentes modalidades. |
Colectivo |
Personas que sean parte, directa o indirectamente, en procedimientos u otros asuntos de índole jurídica (alumnos, personal del responsable, personal externo, así como abogados, procuradores, peritos, etc. que puedan estar implicados en el procedimiento) |
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Empresas y despachos de gestión de cobros, recobros, defensa y representación en juicio. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable ofrece, herramientas colaborativas, correo electrónico, hospedaje de sitios web y almacenamiento para PDI, PAS, alumnos y antiguos alumnos. También proporciona a sus empleados los dispositivos necesarios para la realización de su trabajo.
Para la gestión de dudas, consultas y/o incidencias que puedan producirse en el uso de tales herramientas, el responsable tramita las solicitudes de información y soporte técnico asociado a las mismas.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). |
Fines del tratamiento |
Gestionar la suscripción y prestación del servicio |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
En el caso de servicio de atención automático, la empresa encargada de su implantación y mantenimiento. |
Transf. Internacional |
No están previstas transferencias internacionales . |
Plazo supresión |
Los datos se conservarán durante el tiempo necesario para cumplir la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Es de aplicación los dispuesto en las normas internas relativas a conservación documental y de archivo. Los datos anonimizados de las consultas podrán utilizarse para alimentar un sistema de respuesta automática a consultas. |
Información adicional |
Se realizará un análisis de riesgos y, en su caso, una Evaluación de Impacto de Protección de Datos (EIPD) periódicamente para evaluar el impacto y riesgo de este tratamiento, según su evolución. |
Se incluyen en esta Categoría de Tratamientos, todos aquellos proyectos de investigación en los que se traten datos personales y que se realicen o en las que participe las entidades indicadas. La mayor parte de los tratamientos de investigación serán temporales. Se deberá seguir el Protocolo de Autorización de Tratamientos en el ámbito de la investigación.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
|
Fines del tratamiento |
Gestión, administración, ejecución y coordinación de los proyectos de investigación sobre los que tenga responsabilidad ESIC BS o ESIC University(por ejemplo, TFG, TFM, Doctorados, Proyectos de Investigación de investigadores de ESIC BS o ESIC University, etc.). |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Para la publicación de los Proyectos en plataformas de acceso público, se requerirá el consentimiento de los autores. |
Encargados del tratamiento: |
No se prevén. |
Transf. Internacional |
No se prevén. |
Plazo supresión |
Los datos se conservarán mientras se cumple con la finalidad asociada al proyecto y, en su caso, para determinar posibles responsabilidades en orden a la finalidad y tratamiento de datos. La información se conservará archivada con carácter indefinido por motivos académicos. En caso de valor científico, histórico o estadístico, se podrá conservar anonimizada. Se aplica el Protocolo relativo a los Plazos de conservación de documentos y datos. |
Información adicional |
No se requiere EIPD para estos tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Los participantes en los Proyectos deberán, en el caso de uso de datos personales, recibir y firmar la Información sobre PPDD que proporciona el responsable. Se deberá seguir el Protocolo de Autorización de Tratamientos para proyectos de investigación. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Actividad de tratamiento relacionada con la gestión de los contratos laborales para docentes y personal de administración y servicios, incluyendo la gestión de la formación para estos y otras actividades propias de la relación laboral. Esta categoría de tratamiento incluye los procesos de provisión de vacantes y selección de personal.
Responsable |
La gestión de la relación laboral tiene las siguientes bases de legitimación:
|
Base jurídica |
Los tratamientos vinculados, ya sea por custodia de los datos para la emisión de certificados, por la cesión de datos a la Administración Pública u otros indicados en la sección de finalidades del tratamiento, encuentran su base de legitimación en que el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD):
La búsqueda proactiva de candidatos para empleos en ESIC BS o ESIC University y de detalles sobre estos en bases de datos de terceros tiene su base en el interés legítimo de descubrirlos para cubrir puestos o de conocerlos mejor para saber si el puesto encaja en su perfil (art. 6.1.f RGPD). El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). |
Fines del tratamiento |
1. Llevanza de la relación laboral con el personal contratado:
2. Selección de personal: Análisis y cotejo de los antecedentes profesionales de los candidatos. Análisis de la personalidad del candidato cuando esto sea determinante para las labores previstas (por ejemplo, docencia). El responsable analizará los documentos que le remita el candidato, todo el contenido que sea público y directamente accesible a través de los buscadores, los perfiles que mantenga en redes sociales profesionales, los datos obtenidos en las pruebas de acceso y la información que revele en la entrevista de trabajo, con el objetivo de valorar su candidatura y poder, en su caso, ofrecerle un puesto. Este análisis podrá realizarlo para descubrir y valorar candidatos que precise para determinados puestos o encargos |
Colectivo |
1. Gestión de RRHH.
2. Bolsa de empleo y búsqueda de candidatos:
|
Categorías de datos |
En el tratamiento de gestión de RRHH:
En el tratamiento de selección de personal:
|
Categoría destinatarios |
En los supuestos de selección de personal, las empresas en o con las que el empleado haya trabajado, con objeto de cotejar los datos y comprobar su veracidad. |
Encargados del tratamiento: |
En los supuestos de selección de personal, podrán ser encargadas de tratamiento las empresas de Selección y Reclutamiento a las que se le delegue las actividades propias de las mismas. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Finalizado el contrato, los plazos de conservación serán, según el tipo de dato personal, los siguientes:
En los supuestos de procesos de selección de personal, se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. En caso de que el candidato no sea seleccionado, el responsable podrá mantener almacenado su currículo un máximo de un año para incorporarlo a futuras convocatorias u ofrecimiento de vacantes, a menos que el candidato manifieste lo contrario o exprese su deseo de que sea mantenido por más tiempo. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 Se entrega periódicamente (i) normativa de uso de los sistemas de información, así como (ii) Documento de Información sobre Protección de Datos periódicamente a los empleados. Para los procesos de selección de personal, existe un procedimiento específico para la gestión de CV y candidaturas. |
Acceso bajo registro. Sólo los alumnos y los profesores podrán acceder a cuadros informativos con los datos de contacto profesional de las personas que forman parte del programa en el que están matriculados o en el que impartirán clase o realizarán acciones de dirección o coordinación docente.
Sin registro, a través de los sitios web del responsable cualquier persona podrá acceder a información profesional público sobre el claustro de cada programa.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). |
Fines del tratamiento |
Publicación de los datos identificativos y profesionales:
|
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
Los datos serán accesibles a través de Internet o del aula virtual. No se prevén cesiones a terceros, excepto en su caso a la Agencia Nacional de Evaluación de la Calidad, Agencia autonómicas competentes y otros organismos previstos en la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades y análogos. |
Encargados del tratamiento: |
Empresas de soporte y desarrollo informático |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. |
Gestión de la Editorial de ESIC BS en relación con los autores y colaboradores y la explotación de sus obras., durante el proceso de publicación de obras, manuales y libros de ESIC BS, en cualquier soporte válido.
Responsable |
ESIC BS |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Responsable (art. 6.1.c del RGPD). |
Fines del tratamiento |
Gestión de la evaluación de obras y publicaciones de los proyectos editoriales ofrecidos como autor a ESIC BS, su gestión, facturación y promoción editorial. |
Colectivo |
Autores Personas interesadas. Expertos que revisen y/o califiquen las obras. |
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
|
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable contrata a profesionales, proveedores, entidades colaboradoras y partners comerciales y de negocio para diferentes acciones. Para ello, debe contactar con los profesionales o las personas físicas que desarrollan sus actividades y/o representan a las empresas que venden productos o le proporcionan servicios. Asimismo, el responsable puede contratar colaboradores profesionales para diferentes tareas (por ejemplo, impartición de clases magistrales, charlas en congresos, docencia esporádica en cursos, másteres y otros programas formativos).
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero y no prevalecen los intereses ni los derechos y libertades fundamentales del (art. 6.1.f del RGPD). |
Fines del tratamiento |
Proveedores generales: Registro y gestión de datos de contacto de proveedores y partners comerciales y de negocio. Colaboradores externo docente sujetos a relación mercantil:
|
Colectivo |
Proveedores de servicios o vendedores y, si estos fueran personas jurídicas, las personas físicas de contacto. Personal externo docente. |
Categorías de datos |
1. Proveedores Generales.
2. Colaborador Docente externo:
|
Categoría destinatarios |
|
Encargados del tratamiento: |
* ESIC BS o ESIC University, según el caso * No se prevén otros supuestos. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Gestión del Archivo y registro general de entrada y salida de documentos.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD). El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). Normativa: Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. |
Fines del tratamiento |
Gestión del Archivo documental del Responsable. Gestión del Registro general de entrada y salida de documentos. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
No están previstas cesiones de datos personales |
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron, durante el tiempo legalmente establecido y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Se siguen las directrices de la Normativa de Archivo y Salida Documental, así como el Protocolo aprobado sobre Plazos de conservación de documentos y datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Atender las solicitudes de ejercicio de los derechos que establece el RGPD.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD). En concreto, para recibir, gestionar y responder solicitudes de derechos del interesado (Capítulo III del RGPD) |
Fines del tratamiento |
Recibir, gestionar y responder solicitudes de derechos del interesado (Capítulo III del RGPD). |
Colectivo |
Cualquier persona |
Categorías de datos |
|
Categoría destinatarios |
De ESIC BS a ESIC University, y viceversa. |
Encargados del tratamiento: |
Delegado de Protección de Datos, en su caso. No se prevén otros encargados. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para resolver las reclamaciones y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Se aplica el Protocolo relativo a los Plazos de conservación de documentos y datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Registro y gestión de las consultas formuladas a ESIC sobre las actividades de la entidad, tanto por personal de ESIC, como por interesados en obtener información. Asimismo, incluye la gestión de quejas y sugerencias recibidas.
Responsable |
Admisión y gestión de consultas, peticiones e incidencias: Responsables independientes ESIC BS y ESIC University. Acto de la recogida de datos personales: Corresponsabilidad de ESIC BS y ESIC University. Atención y gestión de quejas y sugerencias: Responsables independientes ESIC BS y ESIC University. |
Base jurídica |
En el caso de consultas, el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). En el caso de quejas y/o sugerencias, el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c del RGPD):
|
Fines del tratamiento |
Registro y gestión de las consultas, peticiones e incidencias sobre actividades del responsable y servicios corporativos de atención al usuario. Conocer la opinión de los usuarios y mejorar la calidad de los servicios que ofrecen ESIC BS y ESIC University. En el caso de ESIC University, el tratamiento incluye la gestión de la queja o sugerencia por parte del Defensor universitario. |
Colectivo |
Cualquier persona |
Categorías de datos |
|
Categoría destinatarios |
De ESIC University a ESIC BS y viceversa, según el caso. |
Encargados del tratamiento: |
No se prevén |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Se conservarán durante el tiempo necesario para la tramitación y respuesta de la consulta y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Se procurará cumplir un tiempo máximo de respuesta de 1 mes. En su caso, se conservarán durante el tiempo necesario para la tramitación y respuesta de la queja o la sugerencia y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Se aplica el Protocolo relativo a los Plazos de conservación de documentos y datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
El responsable analiza el comportamiento de los usuarios en su navegación a través del sitio web y los diferentes perfiles sociales con el objeto de prevenir y bloquear ataques lógicos.
Responsable |
Corresponsabilidad ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero y no prevalecen los intereses ni los derechos y libertades fundamentales del (art. 6.1.f del RGPD). En particular, estos intereses legítimos consisten en evitar el acceso no consentido o la destrucción o alteración de los datos y los sistemas, así como impedir que se bloquee el acceso a los mismos o que terceros realicen otros tratamientos no autorizados. |
Fines del tratamiento |
Analizar:
En ambos casos, una parte del tratamiento lo realiza el responsable directamente o por medio de encargo. Sin embargo, la mayor parte del tratamiento lo realizan terceros a los que se ha contratado el servicio bajo el cual realizan un tratamiento para esta finalidad, pero según sus propios criterios de elección sobre los fines y medios. |
Colectivo |
Usuarios que accedan a sitios web o perfiles sociales gestionados por el responsable, por ESIC BS o por ESIC University |
Categorías de datos |
|
Categoría destinatarios |
Del corresponsable “ESIC BS+ESIC University” a ESIC BS o a ESIC University, según el caso. |
Encargados del tratamiento: |
Empresas forenses y de gestión de la seguridad de la información. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Mientras el usuario mantenga relación con el responsable del tratamiento. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. |
Videovigilancia del perímetro y de los accesos a las instalaciones o dependencias con la finalidad de garantizar la seguridad de las personas, bienes e instalaciones que se encuentran en los edificios.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. Art. 6.1.e) RGPD.Art. 9.2.g) RGPD; Ley Orgánica 6/2001, de 21 de diciembre, de Universidades; Ley 5/2014, de 4 de abril, de Seguridad Privada; Estatuto de los Trabajadores |
Fines del tratamiento |
Garantizar la seguridad de personas, bienes e instalaciones. Garantizar el cumplimiento de obligaciones laborales y/o contractuales por parte de los empleados del responsable o de sus proveedores. Comprobar el correcto desarrollo de las actividades docentes. |
Colectivo |
Personas físicas que acuden a las instalaciones del responsable. |
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Empresas de Seguridad |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Antes de que transcurran 30 días desde su captación. Se aplica el Protocolo relativo a los Plazos de conservación de documentos y datos. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Implantación y acceso a un Canal de denuncias para la comunicación de presuntas infracciones, conforme establece la normativa de aplicación.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
Tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (art. 6.1.f) RGPD) y, en su caso, para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c) RGPD). |
Fines del tratamiento |
Gestión de un canal de denuncias, conforme a lo establecido en la Política interna y Manuales de cumplimiento normativo y evitación de riesgos penales para ESIC BS y ESIC University. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Formalize ApS (Kannikegade 4 - 8000 Aarhus – Dinamarca) |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos se conservarán durante el tiempo necesario para atender y gestionar las denuncias y efectuar las investigaciones necesarias. Asimismo, para la realización o toma de decisión necesaria correspondientes a cada denuncia, cumpliendo con las obligaciones legales correspondientes. La información se conservará debidamente bloqueada por los periodos adicionales necesarios para la prescripción de eventuales responsabilidades legales. |
Información adicional |
Se realizará un análisis de riesgos y, en su caso, una Evaluación de Impacto de Protección de Datos (EIPD) en el caso de cambios en el canal que requieran determinar el impacto y riesgo de este tratamiento, según su evolución. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
En los supuestos de organización por ESIC BS o ESIC University de eventos, congresos, seminarios y actividades similares es posible que se recopilen datos personales de diversas categorías de colectivos.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
Tratamiento necesario para la ejecución de un contrato (art. 6.1.b) RGPD):
Consentimiento para el tratamiento (art. 6.1.a) RGPD):
En su caso, para la gestión de ayudas y subvenciones:
|
Fines del tratamiento |
Gestión relativa a los eventos que se desarrollen, organicen o ejecuten cualquiera de los responsables. Incluye, en todo caso, la publicidad del evento en redes sociales, comunicación de contenido y sus fechas, inscripciones de participantes y ponentes. Gestión de ayudas y subvenciones. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Entidades colaboradoras o prestadoras de servicios de los eventos como inscripción, gestión hotelera, verificación de asistentes, grabación de videos, servicios de catering etc. |
Transf. Internacional |
No se prevén transferencias internacionales de datos personales. |
Plazo supresión |
Los datos se conservarán durante la gestión del evento organizado. Los datos objeto de divulgación o publicación (grabaciones, notas de prensa, programas etc.) podrán conservarse indefinidamente. En otro caso, la información se conservará debidamente bloqueada por los periodos adicionales necesarios para la prescripción de eventuales responsabilidades legales. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022. |
Se aplica en los casos en que profesores y/o colaboradores de las Entidades, así como de los estudiantes, vayan a realizar cursos y/o estancias en el extranjero, así como en los casos de asistencia a cursos, seminarios y similares en Escuelas, Universidades y Organismos fuera de España.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (artículo 6.1.b RGPD). En casos específicos, el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a del RGPD). |
Fines del tratamiento |
Gestión, Administración y control de alumnos y profesores que participan en Programas Internacionales que incluyen la realización de cursos, estancias, seminarios y análogos en otros países, sean de la UE u otros diferentes, así como en otros organismos internacionales. Incluye, asimismo, administración y control de cursos de idiomas. |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
|
Encargados del tratamiento: |
Agencias de Viajes y empresas de organización de traslados y obtención de visados. |
Transf. Internacional |
Se podrán producir transferencias internacionales de datos en los supuestos: a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado |
Plazo supresión |
Los datos se conservarán mientras relación jurídica entre la persona interesada y ESIC BS o ESIC University, sin perjuicio de conservar indefinidamente la información que forma parte del expediente académico del estudiante. La información de los beneficiarios de becas se almacenará por el tiempo indispensable para su gestión administrativa sin perjuicio de la conservación por tiempo indefinido de la misma cuando la beca posea el valor de mérito académico certificable. La información se podrá conservar con carácter indefinido por su valor histórico o estadístico previa aprobación por la Comisión de Expurgo u órgano equivalente conforme a lo regulado en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español y la normativa autonómica aplicable en su caso. |
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |
Comunicaciones realizadas a medios de comunicación, periodistas, informadores y/o cualquier otro comunicador sobre actividades, notas de prensa, comunicados, informaciones, etc. oficiales del responsable del Tratamiento.
Responsable |
Responsables independientes: ESIC BS y ESIC University |
Base jurídica |
El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (artículo 6.1.f RGPD). |
Fines del tratamiento |
Envío de comunicaciones oficiales del responsable del tratamiento a los medios de comunicación públicos/privados, a través de diferentes formatos (notas de prensa, comunicados, etc.) y canales (medios escritos, redes sociales, etc.). |
Colectivo |
|
Categorías de datos |
|
Categoría destinatarios |
No se prevén cesiones. |
Encargados del tratamiento: |
No se prevén. |
Transf. Internacional |
No se prevén. |
Plazo supresión |
|
Información adicional |
No se requiere EIPD para este tratamiento, por los datos tratados y tal y como su responsable lo ejecuta, conforme a lo dispuesto en el artículo 35 del RGPD y en el artículo 28 de la LOPD. Se utilizan y aplican los controles y medidas de seguridad establecidas en las normas ISO/UNE 27001/27701:2022 |