polÍticas de protecciÓn de datos · 2018-10-16 · de las personas físicas en lo que respecta al...

POLÍTICASDEPROTECCIÓNDEDATOS

POLÍTICADEPROTECCIÓNDEDATOSBOOMERANGTV,S.A.IntroducciónLaConstituciónEspañola,ensuartículo18garantizaelderechoalhonor,laintimidadpersonalyfamiliaryalapropiaimagen.Enparticular,ensuapartadocuarto,establecelanecesidaddeprotegerestosderechosfundamentales,dentrodelámbitorelacionadoconelusodelainformática.Deestamanera,elartículo18.4denuestraConstitucióndispone:

“LaLeylimitaráelusodelainformáticaparagarantizarelhonorylaintimidadpersonalyfamiliardelosciudadanosyelplenoejerciciodesusderechos”.

Comoconsecuenciadeestemandatoyparadesarrollarelcontenidodelmismo,sepromulgólaLeyOrgánicadeRegulacióndelTratamientoAutomatizadodeDatosdecarácterpersonal(L.O.5/1992,de29deoctubre),generalmenteconocidacomoLORTAD.Posteriormente,sepromulgóenelmarcodelaUniónEuropealaDirectiva95/46/CEErelativaalaproteccióndelaspersonasfísicasenloquerespectaaltratamientodedatospersonalesyalalibrecirculacióndelosdatos.EncumplimientodeestaDirectiva,EspañapromulgólaLeyOrgánicadeProteccióndeDatosdeCarácterPersonal(L.O.15/1999,de13dediciembre),enadelanteLOPD,yquesupusolatransposicióndelaDirectiva95/46/CEalderechointernodenuestropaísy,elRealDecreto1720/2007,de21dediciembre,porelqueseapruebaelReglamentodedesarrollodelaLOPD.Noobstante,paragarantizarunniveluniformeyelevadodeproteccióndelaspersonasfísicasyeliminarlosobstáculosalacirculacióndedatospersonalesdentrodelaUniónEuropea,eranecesariounreglamentoque proporcionase seguridad jurídica y transparencia a los operadores económicos, y ofreciese a laspersonasfísicasdetodos losEstadosmiembroselmismoniveldederechosyobligacionesexigiblesyderesponsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar unasupervisióncoherentedeltratamientodedatospersonalesysancionesequivalentesentodoslosEstadosmiembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estadosmiembros.Porello,fueaprobadoyentróenvigorel25demayode2016,elReglamento(UE)2016/679delParlamentoEuropeoydelConsejode27deabrilde2016relativoalaproteccióndelaspersonasfísicasenloquerespectaaltratamientodedatospersonalesyalalibrecirculacióndeestosdatosyporelquesederogalaDirectiva95/46/CE(Reglamentogeneraldeproteccióndedatos).En laactualidad,elvigenteReglamentoGeneraldeProteccióndeDatosde laUniónEuropea (RGPD)haderogadolaDirectiva95/46/CEEyesplenamenteaplicableparatodoelterritoriodelaUniónEuropeadeformadirecta.El citado RGPD, en su artículo 24, establece como una obligación de responsabilidad proactiva delresponsabledeltratamiento,lanecesidaddeestablecerlasoportunaspolíticasdeproteccióndedatos,afindegarantizarypoderdemostrarqueeltratamientoesconformeconelcitadoReglamento.

Una de las obligaciones básicas para el responsable del tratamiento es la formación del personal queparticipa en las operaciones de tratamiento de los datos y la concienciación de dicho personal en laimportanciaynecesidaddelcumplimientodelanormativa.Conbaseen loanteriory,conscientede la importanciadequeelpersonalconozca lanormativavigentesobreproteccióndedatos,sehaelaboradolapresentenormativainternaenmateriadeproteccióndedatosdeobligadocumplimientoparatodoslosempleados.ÁmbitodeaplicaciónLapresentepolíticaseaplicaaBOOMERANGTV,S.A.(enadelanteBOOMERANGTV).CumplimientoLa presente política es de obligado cumplimiento para todos los departamentos y empleados deBOOMERANGTVyafectatantoadatospersonalestratadospormedioselectrónicoscomoensoportepapel.ObjetodelapolíticaConstituyeelobjetodelapresentenormativaproporcionarformacióneinformaciónalosempleadosdeBOOMERANGTVenmateriadeproteccióndedatos,atenerencuentayrespetarendesarrolloyelejerciciodesusfunciones.EstanormativaestádirigidaatodoslosDepartamentosy,enparticular,aaquéllosqueintervieneneneltratamiento de datos de carácter personal, así como a los directivos titulares de estos Departamentos,unidades internas, al personal autorizado para acceder e informar de losmismos y para el personal dedesarrollo.DefinicionesAefectosdelapresentenormativaydelRGPDseentenderápor:1) «datos personales»: toda información sobre una persona física identificada o identificable («el/ainteresado/a»);seconsiderarápersonafísicaidentificabletodapersonacuyaidentidadpuedadeterminarse,directao indirectamente,enparticularmediantesu imagen,voz,un identificador,comoporejemplounnombre, un número de identificación, datos de localización, un identificador en línea o uno o varioselementospropiosdelaidentidadfísica,fisiológica,genética,psíquica,económica,culturalosocialdedichapersona;2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales oconjuntosdedatospersonales,yaseaporprocedimientosautomatizadosono,comolarecogida,registro,organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización,comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo ointerconexión,limitación,supresiónodestrucción;3)«limitacióndel tratamiento»:elmarcadode losdatosdecarácterpersonal conservadosconel findelimitarsutratamientoenelfuturo;

4)«elaboracióndeperfiles»:todaformadetratamientoautomatizadodedatospersonalesconsistenteenutilizardatospersonalesparaevaluardeterminadosaspectospersonalesdeunapersonafísica,enparticularpara analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud,preferenciaspersonales,intereses,fiabilidad,comportamiento,ubicaciónomovimientosdedichapersonafísica;5)«seudonimización»:eltratamientodedatospersonalesdemaneratalqueyanopuedanatribuirseauninteresadosinutilizarinformaciónadicional,siemprequedichainformaciónadicionalfigureporseparadoyesté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no seatribuyanaunapersonafísicaidentificadaoidentificable;6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criteriosdeterminados,yaseacentralizado,descentralizadoorepartidodeformafuncionalogeográfica;7)«responsabledeltratamiento»o«responsable»:lapersonafísicaojurídica,autoridadpública,serviciouotroorganismoque,soloojuntoconotros,determinelosfinesymediosdeltratamiento;sielDerechodela Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable deltratamientooloscriteriosespecíficosparasunombramientopodráestablecerloselDerechodelaUniónodelosEstadosmiembros;8)«encargadodeltratamiento»o«encargado»:lapersonafísicaojurídica,autoridadpública,serviciouotroorganismoquetratedatospersonalesporcuentadelresponsabledeltratamiento;9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que secomuniquendatospersonales,setrateonodeuntercero.Noobstante,noseconsiderarándestinatarioslasautoridadespúblicasquepuedanrecibirdatospersonalesenelmarcodeunainvestigaciónconcretadeconformidadconelDerechodelaUniónodelosEstadosmiembros;eltratamientodetalesdatospordichasautoridadespúblicasseráconformeconlasnormasenmateriadeproteccióndedatosaplicablesalosfinesdeltratamiento;10)«tercero»:personafísicaojurídica,autoridadpública,serviciouorganismodistintodelinteresado,delresponsabledeltratamiento,delencargadodeltratamientoydelaspersonasautorizadasparatratar losdatospersonalesbajolaautoridaddirectadelresponsableodelencargado;11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada einequívocaporlaqueelinteresadoacepta,yaseamedianteunadeclaraciónounaclaraacciónafirmativa,eltratamientodedatospersonalesqueleconciernen;12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione ladestrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados otratadosdeotraforma,olacomunicaciónoaccesonoautorizadosadichosdatos;13)«datosgenéticos»:datospersonalesrelativosalascaracterísticasgenéticasheredadasoadquiridasdeunapersonafísicaqueproporcionenuna informaciónúnicasobre la fisiologíao lasaluddeesapersona,obtenidosenparticulardelanálisisdeunamuestrabiológicadetalpersona;

14)«datosbiométricos»:datospersonalesobtenidosapartirdeuntratamientotécnicoespecífico,relativosalascaracterísticasfísicas,fisiológicasoconductualesdeunapersonafísicaquepermitanoconfirmenlaidentificaciónúnicadedichapersona,comoimágenesfacialesodatosdactiloscópicos;15)«datosrelativosalasalud»:datospersonalesrelativosalasaludfísicaomentaldeunapersonafísica,incluidalaprestacióndeserviciosdeatenciónsanitaria,quereveleninformaciónsobresuestadodesalud;16)«empresa»:personafísicaojurídicadedicadaaunaactividadeconómica, independientementedesuforma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividadeconómica;17) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresascontroladas;18)«normascorporativasvinculantes»: laspolíticasdeproteccióndedatospersonalesasumidasporunresponsable o encargado del tratamiento establecido en el territorio de un Estado miembro paratransferenciasounconjuntodetransferenciasdedatospersonalesaunresponsableoencargadoenunoomáspaísesterceros,dentrodeungrupoempresarialounaunióndeempresasdedicadasaunaactividadeconómicaconjunta;19)«autoridaddecontrol»:laautoridadpúblicaindependienteestablecidaporunEstadomiembroconlaresponsabilidaddesupervisar laaplicacióndelRGPD,conel findeproteger losderechosy las libertadesfundamentalesdelaspersonasfísicasenloquerespectaaltratamientoydefacilitarlalibrecirculacióndedatospersonalesenlaUnión.20) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datospersonalesdebidoaque:a)elresponsableoelencargadodeltratamientoestáestablecidoenelterritoriodelEstadomiembrodeesaautoridaddecontrol;b)losinteresadosqueresidenenelEstadomiembrodeesaautoridaddecontrolsevensustancialmenteafectadosoesprobablequeseveansustancialmenteafectadosporeltratamiento,oc)sehapresentadounareclamaciónanteesaautoridaddecontrol;21)«tratamiento transfronterizo»:a)el tratamientodedatospersonales realizadoenel contextode lasactividades de establecimientos enmás de un Estadomiembro de un responsable o un encargado deltratamientoenlaUnión,sielresponsableoelencargadoestáestablecidoenmásdeunEstadomiembro,ob)eltratamientodedatospersonalesrealizadoenelcontextodelasactividadesdeunúnicoestablecimientode un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o esprobablequeafectesustancialmenteainteresadosenmásdeunEstadomiembro;23)«serviciodelasociedaddelainformación»:todoservicioconformealadefinicióndelartículo1,apartado1,letrab),delaDirectiva(UE)2015/1535delParlamentoEuropeoydelConsejo;24) «organización internacional»: una organización internacional y sus entes subordinados de Derechointernacionalpúblicoocualquierotroorganismocreadomedianteunacuerdoentredosomáspaísesoenvirtuddetalacuerdo.

DelegadodeProteccióndeDatos(DPD)deBOOMERANGTVBOOMERANG TV dispone de un delegado de protección de datos que, entre otras funciones, tiene lassiguientes:

a) informar y asesorar a los empleados que tratan datos personales de las obligaciones que lesincumbenenvirtuddelanormativavigenteenproteccióndedatos;

b) supervisarelcumplimientodelodispuestoenlanormativavigenteenproteccióndedatosydelaspolíticasdeproteccióndedatosdeBOOMERANGTV.

c) Laasignaciónderesponsabilidades,laconcienciaciónyformacióndelpersonalqueparticipaenlasoperacionesdetratamiento.

d) Larealizacióndelasauditoríascorrespondientes.e) Ofrecer asesoramiento acerca de la evaluación de impacto relativa a la protección de datos y

supervisarsuaplicacióndeconformidad.f) cooperarconlaautoridaddecontrol,yenconcreto,conlaAgenciaEspañoladeProteccióndeDatos.g) Actuarcomopuntodecontactodelaautoridaddecontrolparacuestionesrelativasaltratamiento,

yrealizarlasconsultasqueprocedaadichaautoridad,ensucaso,sobrecualquierotroasunto.LosdatosdeldelegadodeproteccióndedatosdeBOOMERANGTVsonlossiguientes:Nombre:SandraTorrillasRodríguez;Email:dpd@boomerangtv.comPrincipiosgeneralesdelaproteccióndedatos

Principio de lealtad, que implica cumplir todas las normas de Derecho generales y/o sectorialesaplicablesaltratamiento,asícomolaspolíticasynormasdeBOOMERANGTV.

Principiodeproporcionalidad,queimplicaqueelderechoalaproteccióndelosdatospersonalesnoesunderechoabsoluto,sinoquedebeconsiderarseenrelaciónconsufunciónenlasociedadymantenerelequilibrioconotrosderechosfundamentales,conarregloalprincipiodeproporcionalidad.

Principio de licitud, que implica que, cualquier tratamiento tendrá una base jurídica de entre lassiguientes:• Consentimientodelinteresadoparaeltratamientodesusdatospersonalesparaunoovariosfines

específicos;• Ejecucióndeuncontratoenelqueelinteresadoesparteoparalaaplicaciónapeticióndeestede

medidasprecontractuales;• Cumplimientodeunaobligaciónlegalaplicablealresponsabledeltratamiento;• Proteccióndelosinteresesvitalesdelinteresadoodeotrapersonafísica;• Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos

conferidosalresponsabledeltratamiento;• SatisfaccióndeintereseslegítimosperseguidosporBOOMERANGTVoporuntercerodirectamente

relacionadoconBOOMERANGTV,siemprequesobredichosinteresesnoprevalezcanlosintereseso los derechos y libertades fundamentales del interesado que requieran la protección de datospersonales.

Principio de transparencia, que implica que el interesado/a será informado/a del alcance deltratamientodeformaleal,inequívoca,específicayexpresa.

Principiodefinalidadylimitacióndelafinalidad,queimplicaqueeltratamientodelosdatossiempresellevaráacaboconfinesexplícitos,legítimosyespecíficos.

Principiode compatibilidad, que implica queno se llevarán a cabo tratamientos dedatos con finesincompatiblesconaquellosquemotivaron larecogidade losdatos.Noseconsideraránentodocasoincompatibleslosfinesdearchivoeninteréspúblico,finesdeinvestigacióncientíficaehistóricaofinesestadísticos.

Principio de minimización de datos, que implica que, los datos sometidos a tratamiento seránadecuados,pertinentesylimitadosalonecesarioenrelaciónconlosfinesparalosquesontratadosyalosmínimosdatosposibles.Principiodeexactitud,queimplicaquesesometeránatratamientodatosexactosy,sifueranecesario,actualizados;adoptandotodaslasmedidasrazonablesparaquesesuprimanorectifiquensindilaciónlosdatospersonalesqueseaninexactosconrespectoalosfinesparalosquesetratan.

Principiodelimitacióndelplazodeconservación,queimplicaquelosdatosseránmantenidosdeformaquesepermitalaidentificacióndelosinteresadosdurantenomástiempodelnecesarioparalosfinesdeltratamientoparalosquefueronrecogidoslosdatospersonales.Principio de integridad, confidencialidad y seguridad, que implica que los datos personales serántratadosdetalmaneraquesegaranticeunaseguridadadecuadade losdatospersonales, incluida laprotección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o dañoaccidental,mediantelaaplicacióndemedidastécnicasuorganizativasapropiadas.

Principiosdeproteccióndedatosdesdeeldiseñoypordefectoreduciendoalmáximoeltratamientodedatospersonales,tantoenrelacióncon(i)lacantidaddedatospersonalesrecogidos;(ii)laextensióndesutratamiento;(iii)suplazodeconservacióny(iii)suaccesibilidad.

Principio de responsabilidad proactiva o diligencia debida, que implica que el responsable y elencargadodeltratamientodebencumplirconlosprincipiosantedichosysercapacesdedemostrarlo.

CondicionesparaelconsentimientoCuandoeltratamientosebaseenelconsentimientodel/ainteresado/a,elresponsabledeberásercapazdedemostrarqueaquel/laconsintióeltratamientodesusdatospersonales.Si el consentimientodel/a interesado/a sedaenel contextodeunadeclaraciónescritaque también serefieraaotrosasuntos,lasolicituddeconsentimientosepresentarádetalformaquesedistingaclaramentedelosdemásasuntos,deformainteligibleydefácilaccesoyutilizandounlenguajeclaroysencillo.Noserávinculanteningunapartedeladeclaraciónqueconstituyainfraccióndelodispuestoanteriormenteyademás,el/ainteresado/atendráderechoaretirarsuconsentimientoencualquiermomento.

Laretiradadelconsentimientonoafectaráalalicituddeltratamientobasadaenelconsentimientoprevioasuretirada.Antesdedarsuconsentimiento,el/ainteresado/aseráinformado/adeello.Además,deberásertanfácilretirarelconsentimientocomodarlo.Alevaluarsielconsentimientosehadadolibremente,setendráencuentaenlamayormedidaposibleelhechodesi,entreotrascosas,laejecucióndeuncontrato,incluidalaprestacióndeunservicio,sesupeditaal consentimientoal tratamientodedatospersonalesqueno sonnecesariospara la ejecucióndedichocontratooprestacióndeservicio.CategoríasespecialesdedatosQuedaprohibidoel tratamientodedatospersonalesque revelenelorigenétnicoo racial, lasopinionespolíticas,lasconviccionesreligiosasofilosóficas,olaafiliaciónsindical,yeltratamientodedatosgenéticos,datosbiométricosdirigidosaidentificardemaneraunívocaaunapersonafísica,datosrelativosalasaludodatosrelativosalavidasexualolaorientaciónsexualdeunapersonafísica.Loanteriornoserádeaplicacióncuandoconcurraunadelascircunstanciassiguientes:a)elinteresadodiosuconsentimientoexplícitoparaeltratamientodedichosdatospersonalesconunoomásde los fines especificados, excepto cuandoalgunanormadeDerechoestablezcaque la prohibiciónmencionadaenelapartadoanteriornopuedeserlevantadaporel/ainteresado/a;b)eltratamientoesnecesarioparaelcumplimientodeobligacionesyelejerciciodederechosespecíficosdelresponsabledeltratamientoodel/ainteresado/aenelámbitodelDerecholaboralydelaseguridadyprotecciónsocial,enlamedidaenqueasíloautoriceelDerechodelaUnióndelosEstadosmiembrosounconveniocolectivoconarregloalDerechodelosEstadosmiembrosqueestablezcagarantíasadecuadasdelrespetodelosderechosfundamentalesydelosinteresesdelinteresado;c)eltratamientoesnecesarioparaprotegerinteresesvitalesdel/ainteresado/aodeotrapersonafísica,enel supuesto de que el/a interesado/a no esté capacitado/a, física o jurídicamente, para dar suconsentimiento;d)eltratamientoesefectuado,enelámbitodesusactividadeslegítimasyconlasdebidasgarantías,porunafundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política,filosófica,religiosaosindical,siemprequeeltratamientoserefieraexclusivamentealosmiembrosactualesoantiguosdetalesorganismosoapersonasquemantengancontactosregularesconellosenrelaciónconsusfinesysiemprequelosdatospersonalesnosecomuniquenfueradeellossinelconsentimientodelosinteresados;e)eltratamientoserefiereadatospersonalesqueel/ainteresado/ahahechomanifiestamentepúblicos;f)eltratamientoesnecesarioparalaformulación,elejerciciooladefensadereclamacionesocuandolostribunalesactúenenejerciciodesufunciónjudicial;

g)eltratamientoesnecesarioporrazonesdeuninteréspúblicoesencial,sobrelabasedelDerechodelaUniónodelosEstadosmiembros,quedebeserproporcionalalobjetivoperseguido,respetarenloesencialelderechoalaproteccióndedatosyestablecermedidasadecuadasyespecíficasparaprotegerlosinteresesyderechosfundamentalesdel/ainteresado/a;h)eltratamientoesnecesarioparafinesdemedicinapreventivaolaboral,evaluacióndelacapacidadlaboraldel/atrabajador/a,diagnósticomédico,prestacióndeasistenciaotratamientodetiposanitarioosocial,ogestióndelossistemasyserviciosdeasistenciasanitariaysocial,sobrelabasedelDerechodelaUniónodelos Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de otrascondicionesygarantíasquesecontemplenenelRGPD;i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como laprotecciónfrenteaamenazastransfronterizasgravesparalasalud,oparagarantizarelevadosnivelesdecalidadydeseguridaddelaasistenciasanitariaydelosmedicamentosoproductossanitarios,sobrelabasedelDerechodelaUniónodelosEstadosmiembrosqueestablezcamedidasadecuadasyespecíficasparaprotegerlosderechosylibertadesdelinteresado,enparticularelsecretoprofesional.j) el tratamientoes necesario con finesde archivoen interéspúblico, finesde investigación científicaohistóricao finesestadísticos,deconformidadconelartículo89,apartado1delRGPD, sobre labasedelDerechodelaUniónodelosEstadosmiembros,quedebeserproporcionalalobjetivoperseguido,respetarenloesencialelderechoalaproteccióndedatosyestablecermedidasadecuadasyespecíficasparaprotegerlosinteresesyderechosfundamentalesdel/ainteresado/a.TratamientodedatospersonalesrelativosacondenaseinfraccionespenalesEl tratamientodedatospersonales relativos a condenase infraccionespenalesomedidasde seguridadconexas,sólopodrállevarseacabobajolasupervisióndelasautoridadespúblicasocuandoloautoriceelDerechode laUniónode losEstadosmiembrosqueestablezcagarantíasadecuadaspara losderechosylibertadesdelosinteresados.Solopodrállevarseunregistrocompletodecondenaspenalesbajoelcontroldelasautoridadespúblicas.Informaciónquedebeproporcionarseacualquier/ainteresado/asobreeltratamientodesusdatos

Cuando los datos se obtengan del interesado/a directamente, el responsable del tratamiento, en elmomentoenqueestosseobtengan,lefacilitarátodalainformaciónindicadaacontinuación:

a)laidentidadylosdatosdecontactodelresponsable;b)losdatosdecontactodeldelegadodeproteccióndedatos;c)losfinesdeltratamientoaquesedestinanlosdatospersonalesc)labasejurídicadeltratamiento;d)cuandoeltratamientosebaseenelinteréslegítimo,losintereseslegítimosdelresponsableodeuntercero;e)losdestinatariosolascategoríasdedestinatariosdelosdatospersonales;f) la intención del responsable de transferir datos personales a un tercer país u organizacióninternacionalylaexistenciaoausenciadeunadecisióndeadecuacióndelaComisión,o,ensucaso,referenciaalasgarantíasadecuadasoapropiadasyalosmediosparaobtenerunacopiadeestasoalhechodequesehayanprestado.

g)elplazoduranteelcualseconservaránlosdatospersonaleso,cuandonoseaposible,loscriteriosutilizadosparadeterminaresteplazo;h)laexistenciadelderechoasolicitaralresponsabledeltratamientoelaccesoalosdatospersonalesrelativosalinteresado,ysurectificaciónosupresión,olalimitacióndesutratamiento,oaoponersealtratamiento,asícomoelderechoalaportabilidaddelosdatos;i) cuandoel tratamientoestébasadoenel consentimiento, laexistenciadelderechoa retirarelconsentimientoencualquiermomento,sinqueelloafectealalicituddeltratamientobasadoenelconsentimientoprevioasuretirada;j)elderechoapresentarunareclamaciónanteunaautoridaddecontrol;k)silacomunicacióndedatospersonalesesunrequisitolegalocontractual,ounrequisitonecesarioparasuscribiruncontrato,ysiel/ainteresado/aestáobligado/aafacilitarlosdatospersonalesyestáinformado/adelasposiblesconsecuenciasdequenofacilitartalesdatos;l)laexistenciadedecisionesautomatizadas,incluidalaelaboracióndeperfilesy,almenosentalescasos,informaciónsignificativasobrelalógicaaplicada,asícomolaimportanciaylasconsecuenciasprevistasdedichotratamientoparael/ainteresado/a.m)Siseproyectaeltratamientoulteriordedatospersonalesparaunfinquenoseaaquelparaelquese recogieron, proporcionará al/a interesado/a, con anterioridad a dicho tratamiento ulterior,informaciónsobreeseotrofinycualquierinformaciónadicionalpertinente.

Cuandolosdatospersonalesnosehayanobtenidosdel/ainteresado/a,elresponsabledeltratamientolefacilitarálasiguienteinformación:

a)Ademásdetodalaindicadaenelapartadoanterior;b)Lascategoríasdedatospersonalesdequesetratec)Lafuentedelaqueprocedenlosdatospersonalesy,ensucaso,siprocedendefuentesdeaccesopúblico.

Lainformaciónindicadaenlosapartadosanterioresseproporcionaráal/ainteresado/a:

a)dentrodeunplazorazonable,unavezobtenidoslosdatospersonales,yamástardardentrodeunmes,habidacuentadelascircunstanciasespecíficasenlasquesetratendichosdatos;b)silosdatospersonaleshandeutilizarseparacomunicaciónconel/ainteresado/a,amástardarenelmomentodelaprimeracomunicaciónadicho/ainteresado/a,oc)siestáprevistocomunicarlosaotrodestinatario,amástardarenelmomentoenquelosdatospersonalesseancomunicadosporprimeravez.

Noobstante,loanteriornoserádeaplicacióncuandoyenlamedidaenque:

a)el/ainteresado/ayadispongadelainformación;b)lacomunicacióndedichainformaciónresulteimposibleosupongaunesfuerzodesproporcionado,en particular para el tratamiento con fines de archivo en interés público, fines de investigacióncientífica ohistóricao fines estadísticos, a reservade las condiciones y garantías indicadas en elartículo89,apartado1delRGPD,oenlamedidaenquelaobligaciónmencionadaenelapartado1delpresenteartículopuedaimposibilitaruobstaculizargravementeellogrodelosobjetivosdetaltratamiento.Entalescasos,elresponsableadoptarámedidasadecuadasparaprotegerlosderechos,libertadeseintereseslegítimosdelinteresado,inclusivehaciendopúblicalainformación;

c)laobtenciónolacomunicaciónestéexpresamenteestablecidaporelDerechodelaUniónodelosEstados miembros que se aplique al responsable del tratamiento y que establezca medidasadecuadasparaprotegerlosintereseslegítimosdelinteresado,od) cuandolosdatospersonalesdebanseguirteniendocarácterconfidencialsobrelabasedeunaobligacióndesecretoprofesionalreguladaporelDerechodelaUniónodelosEstadosmiembros,incluidaunaobligacióndesecretodenaturalezaestatutaria.

Lo/as interesado/as serán informado/as de los siguientes derechos, que, además, serán atendidos ygestionadosenlamedidaenqueseanobjetodeejercicio:

Derechodeacceso:queproporcionaráal/a interesado/aelderechoaobtenerdel responsabledeltratamientoconfirmacióndesiseestántratandoonodatospersonalesqueleconcierneny,entalcaso,derechodeaccesoalosdatospersonalesyalasiguienteinformación:a) losfinesdeltratamiento;b) lascategoríasdedatospersonalesdequesetrate;c) losdestinatariosolascategoríasdedestinatariosalosquesecomunicaronoseráncomunicados

losdatospersonales,enparticulardestinatariosentercerosuorganizacionesinternacionales;d) deserposible,elplazoprevistodeconservacióndelosdatospersonaleso,denoserposible,los

criteriosutilizadosparadeterminaresteplazo;e) laexistenciadelderechoasolicitardelresponsablelarectificaciónosupresióndedatospersonales

olalimitacióndeltratamientodedatospersonalesrelativosal/ainteresado/a,oaoponerseadichotratamiento;

f) elderechoapresentarunareclamaciónanteunaautoridaddecontrol;g) cuando los datos personales no se hayan obtenido del/a interesado/a, cualquier información

disponiblesobresuorigen;h) laexistenciadedecisionesautomatizadas,incluidalaelaboracióndeperfilesy,almenosentales

casos,informaciónsignificativasobrelalógicaaplicada,asícomolaimportanciaylasconsecuenciasprevistasdedichotratamientoparael/ainteresado/a.i)Cuandosetransfierandatospersonalesauntercerpaísoaunaorganizacióninternacional,lasgarantíasadecuadasenvirtuddelartículo46delRGPDrelativasalatransferencia.

Derecho de rectificación que proporcionará al/a interesado/a el derecho a obtener sin dilaciónindebida del responsable del tratamiento la rectificación de los datos personales inexactos que leconciernany/oaquesecompletenlosdatospersonalesqueseanincompletos,inclusivemedianteunadeclaraciónadicional.

Derecho de supresión («el derecho al olvido»)que proporcionará al/a interesado/a el derecho aobtenersindilaciónindebidadelresponsabledeltratamientolasupresióndelosdatospersonalesquele conciernan,el cualestaráobligadoa suprimir sindilación indebida losdatospersonales cuandoconcurraalgunadelascircunstanciassiguientes:a) losdatospersonalesyanoseannecesariosenrelaciónconlosfinesparalosquefueronrecogidos

otratadosdeotromodo;b) el/ainteresado/aretireelconsentimientoenquesebasaeltratamiento,yestenosebaseenotro

fundamentojurídico;

c) el/ainteresado/aseopongaaltratamientopormotivosrelacionadosconsusituaciónparticular,yno prevalezcan otrosmotivos legítimos para el tratamiento, o el/a interesado/a se oponga altratamientoconfinesdemercadotecnia(publicidad);

d) losdatospersonaleshayansidotratadosilícitamente;e) losdatospersonalesdebansuprimirseparaelcumplimientodeunaobligaciónlegalestablecidaen

elDerechoqueseapliquealresponsabledeltratamiento;f) losdatospersonalessehayanobtenidoenrelaciónconlaofertadeserviciosdelasociedaddela

informacióncuandoel/ainteresado/aeramenor.

Derechoalalimitacióndeltratamientoqueproporcionaráal/ainteresado/aelderechoaobtenerdelresponsabledeltratamientolalimitacióndeltratamientodelosdatoscuandosecumplaalgunadelascondicionessiguientes:a) el/ainteresado/aimpugnelaexactituddelosdatospersonales,duranteunplazoquepermitaal

responsableverificarlaexactituddelosmismos;b) eltratamientoseailícitoyel/ainteresado/aseopongaalasupresióndelosdatospersonalesy

soliciteensulugarlalimitacióndesuuso;c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el/a

interesado/alosnecesiteparalaformulación,elejerciciooladefensadereclamaciones;d)el/ainteresado/asehayaopuestoaltratamientobasadoenmotivosrelacionadosconsusituaciónparticular,mientrasseverificasilosmotivoslegítimosdelresponsableprevalecensobrelosdel/ainteresado/a.

Derechoalaportabilidaddelosdatosqueproporcionaráal/ainteresado/aelderechoarecibirlosdatos personales que le incumban, que haya facilitado a un responsable del tratamiento, en unformatoestructurado,deusocomúny lecturamecánica,ya transmitirlosaotro responsabledeltratamientosinqueloimpidaelresponsablealqueseloshubierafacilitado,cuando:

a) eltratamientoestébasadoenelconsentimiento,oenuncontrato,yb) eltratamientoseefectúepormediosautomatizados.

Derecho de oposición que proporcionará al/a interesado/a el derecho a oponerse en cualquiermomento, por motivos relacionados con su situación particular, a que datos personales que leconciernanseanobjetodeuntratamientobasadoenelcumplimientodeunamisiónrealizadaeninteréspúblicooenelejerciciodepoderespúblicosdelresponsableoenlasatisfaccióndelinteréslegítimodelresponsable,incluidalaelaboracióndeperfiles.Elresponsabledeltratamientodejarádetratarlosdatospersonales,salvoqueacreditemotivoslegítimosimperiososparaeltratamientoqueprevalezcan sobre los intereses, los derechos y las libertades del/a interesado/a, o para laformulación,elejerciciooladefensadereclamaciones.Estederechotambiénproporcionaráal/ainteresado/aelderechoaoponerseentodomomentoaltratamiento de los datos personales que le conciernan con fines demercadotecnia (publicidad),incluidalaelaboracióndeperfilesrelacionadaconestefin.Además,cuandolosdatospersonalessetratenconfinesdeinvestigacióncientíficaohistóricaofinesestadísticos de conformidad con el artículo 89, apartado 1 del RGPD, el/a interesado/a tendráderecho,pormotivosrelacionadosconsusituaciónparticular,aoponersealtratamientodedatos

personalesqueleconciernan,salvoqueseanecesarioparaelcumplimientodeunamisiónrealizadaporrazonesdeinteréspúblico.Derechoanoserobjetodeunadecisiónindividualautomatizada,incluidalaelaboracióndeperfilesbasadaúnicamenteeneltratamientoautomatizado,queproduzcaefectosjurídicosenéloleafectesignificativamentedemodosimilar.Losanterioresderechosdeberánsergarantizadosyademásgestionadosenlamedidaenqueseanejercitadospor los/as interesados/as, teniendoencuentaparaello,sualcance,particularidadesylimitaciones.La atención y gestión de estos derechos se llevará a cabo según el procedimiento internocorrespondienteatravésdeladireccióndeemail:protecciondedatos@boomerangtv.com,aquién,por tanto, cualquier empleado deberá notificar la existencia y recepción de cualquier tipo decomunicaciónrecibidaenBOOMERANGTVportercerosinteresado/as.

PrestacióndeserviciosportercerosCuandosevayaarealizaruntratamientoporcuentadeBOOMERANGTVsoloseelegiráunencargadoqueofrezcagarantíassuficientesparaaplicarmedidastécnicasyorganizativasapropiados,demaneraqueeltratamientoseaconformeconlosrequisitosdelRGPDygarantice laproteccióndelosderechosdelo/asinteresado/as.Seprohibiráalencargadodeltratamientorecurriraotroencargadosinlaautorizaciónpreviaporescrito,específica o general, del responsable, informándole deque, en casode autorizacióndeberá informar alresponsabledecualquiercambioprevistoenlaincorporaciónosustitucióndeotrosencargados,dandoasíalresponsablelaoportunidaddeoponerseadichoscambios.Siempre se regulará por escrito la relación con los terceros encargados del tratamiento, mediante uncontrato de encargo de tratamiento, que vincule al encargado respecto del responsable y establezca elobjeto,laduración,lanaturalezaylafinalidaddeltratamiento,eltipodedatospersonalesycategoríasdeinteresados,ylasobligacionesyderechosdelresponsable.Dichocontratoestipulará,enparticular,queelencargado:

a) tratarálosdatospersonalesúnicamentesiguiendoinstruccionesdocumentadasdeBOOMERANGTV, inclusive con respecto a las transferencias de datos personales a un tercer país o unaorganizacióninternacional,salvoqueestéobligadoaelloenvirtuddelDerechodelaUniónodelos Estados miembros que se aplique al encargado; en tal caso, el encargado informará alresponsabledeesaexigencia legalpreviaal tratamiento,salvoquetalDerecho loprohíbaporrazonesimportantesdeinteréspúblico;

b) garantizaráquelaspersonasautorizadasparatratardatospersonalessehayancomprometidoa

respetarlaconfidencialidadoesténsujetasaunaobligacióndeconfidencialidaddenaturalezaestatutaria;

c) tomarátodaslasmedidasnecesariasenmateriadeseguridad,deconformidadconelartículo32delRGPD;

d) respetará las condiciones indicadas por el responsable para recurrir a otro encargado del

tratamiento;e) asistiráaBOOMERANGTV,teniendocuentalanaturalezadeltratamiento,atravésdemedidas

técnicasyorganizativasapropiadas,siemprequeseaposible,paraqueestepuedacumplirconsuobligaciónderesponderalassolicitudesquetenganporobjetoelejerciciodelosderechosdelo/asinteresado/as;

f) ayudaráaBOOMERANGTVagarantizarelcumplimientodelasobligacionesdeseguridad,incluida

lanotificacióndebrechasoviolacionesdeseguridadalaAutoridaddeControl,asícomoalo/asinteresado/as,yayudaráalarealizacióndeunaevaluacióndeimpactoenlaproteccióndedatos,incluidalaconsultapreviaalaAEPD,todoello,teniendoencuentalanaturalezadeltratamientoylainformaciónadisposicióndelencargado;

g) aeleccióndeBOOMERANGTV,suprimiráodevolverátodoslosdatospersonalesunavezfinalice

laprestaciónde losserviciosdetratamiento,ysuprimirá lascopiasexistentesamenosqueserequieralaconservacióndelosdatospersonalesenvirtuddelDerechoaplicable;

h) pondrá a disposición de BOOMERANG TV toda la información necesaria para demostrar el

cumplimientodelasobligacionesestablecidasanteriormenteestablecidas,asícomoparapermitirycontribuiralarealizacióndeauditorías,incluidasinspecciones,porpartedelresponsableodeotroauditorautorizadopordichoresponsable.

Elcontratodeencargodetratamientodescritoenelapartadoanterior,seráproporcionadoalpersonal

quelonecesiteatravésdelDepartamentodeJurídicodeBOOMERANGTV.RegistrodeActividadesBOOMERANGTVllevaráaunregistroquecontendrálasiguienteinformaciónindicadaacontinuación:

a) elnombreylosdatosdecontactodeBOOMERANGTVcomoentidadresponsabley,ensucaso,siloshubiera,deterceroscorresponsablesydelrepresentantedelresponsable;

b) elnombreylosdatosdecontactodeldelegadodeproteccióndedatos;c) losfinesdeltratamiento;d) unadescripcióndelascategoríasdeinteresados;e) unadescripcióndelascategoríasdedatospersonales;f) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales,

incluidoslosdestinatariosentercerospaísesuorganizacionesinternacionales;g) losdestinatariosentercerospaísesuorganizacionesinternacionales,estoes,lastransferenciasde

datospersonalesauntercerpaísounaorganizacióninternacional,incluidalaidentificacióndedichotercerpaísuorganizacióninternacionaly,ensucaso,ladocumentacióndegarantíasadecuadas;

h) cuandoseaposible,losplazosprevistosparalasupresióndelasdiferentescategoríasdedatos;i) cuandoseaposible,unadescripcióngeneraldelasmedidastécnicasyorganizativasdeseguridad.

MedidasdeseguridadLosdatospersonalesdebentratarsedeunmodoquegaranticeunaseguridadyconfidencialidadadecuadasdelosdatospersonales,inclusiveparaimpedirelaccesoousonoautorizadosdedichosdatosydelequipoutilizadoeneltratamiento.Sinosetomanatiempomedidasadecuadas,lasviolacionesdelaseguridaddelosdatospersonalespuedenentrañardaños yperjuicios físicos,materialeso inmaterialespara laspersonas físicas, comopérdidadecontrolsobresusdatospersonalesorestriccióndesusderechos,discriminación,usurpacióndeidentidad,pérdidasfinancieras,reversiónnoautorizadadelaseudonimización,dañoparalareputación,pérdidadeconfidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o socialsignificativoparalapersonafísicaencuestión.Losdatosserántratadosdetalmaneraquesegaranticeunaseguridadadecuadadelosdatospersonales,incluidalaproteccióncontraeltratamientonoautorizadooilícitoycontrasupérdida,destrucciónodañoaccidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad yconfidencialidad»).Cadaresponsabledeltratamientodeactividades,yelencargadodeltratamiento,deberánllevarunregistrodetodaslascategoríasdeactividadesdetratamientodedatospersonalesefectuadasporBoomerang.Dichoregistrodeberácontenerunadescripcióngeneraldelasmedidastécnicasyorganizativasdeseguridadaqueserefiereelartículo30delReglamentogeneraldeProteccióndeDatos.Teniendoencuentaelestadodelatécnica,loscostesdeaplicación,ylanaturaleza,elalcance,elcontextoy los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos ylibertadesdelaspersonasfísicas,elresponsableyelencargadodeltratamientoaplicaránmedidastécnicasyorganizativasapropiadasparagarantizarunniveldeseguridadadecuadoalriesgoteniéndoseencuentalosriesgosquepresenteeltratamientodedatos,comoconsecuenciadeladestrucción,pérdidaoalteraciónaccidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o lacomunicaciónoaccesonoautorizadosadichosdatos. Elresponsableyelencargadodeltratamientotomaránmedidasparagarantizarquecualquierpersonaqueactúebajolaautoridaddelresponsableodelencargadoytengaaccesoadatospersonalessolopuedatratardichosdatossiguiendoinstruccionesdelresponsable,salvoqueestéobligadaaelloenvirtuddelDerechodelaUniónodelosEstadosmiembros.Tanprontocomoelresponsabledeltratamientotengaconocimientodequesehaproducidounaviolacióndelaseguridaddelosdatospersonales,elresponsabledebe,sindilaciónindebiday,deserposible,amástardar72horasdespuésdequehayatenidoconstanciadeella,notificarlaviolacióndelaseguridaddelosdatos personales a la autoridad de control competente, amenos que el responsable pueda demostrar,atendiendoalprincipioderesponsabilidadproactiva,laimprobabilidaddequelaviolacióndelaseguridaddelosdatospersonalesentrañeunriesgoparalosderechosylaslibertadesdelaspersonasfísicas.Sidichanotificaciónnoesposibleenelplazode72horas,deberáacompañarseunaindicacióndelosmotivosdeladilación,pudiendofacilitarseinformaciónporfasessinmásdilaciónindebida.Igualmente,elresponsabledeltratamientodebecomunicaralinteresadosindilaciónindebidalaviolacióndelaseguridaddelosdatospersonalesencasodequepuedeentrañarunaltoriesgoparasusderechosylibertades,ypermitirletomarlasprecaucionesnecesarias.Lacomunicacióndebedescribirlanaturalezade

laviolacióndelaseguridaddelosdatospersonalesylasrecomendacionesparaquelapersonafísicaafectadamitiguelospotencialesefectosadversosresultantesdelaviolación.Dichascomunicacionesalosinteresadosdebenrealizarsetanprontocomosearazonablementeposibleyenestrechacooperaciónconlaautoridadde control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridadespoliciales.Así,porejemplo,lanecesidaddemitigarunriesgodedañosyperjuiciosinmediatosjustificaríaunarápidacomunicaciónconlosinteresados,mientrasquecabejustificarquelacomunicaciónllevemástiempoporlanecesidaddeaplicarmedidasadecuadasparaimpedirviolacionesdelaseguridaddelosdatospersonalescontinuasosimilares.Alestablecerdisposicionesdeaplicaciónsobreelformatoylosprocedimientosaplicablesalanotificaciónde las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta lascircunstanciasdetalviolación,inclusivesilosdatospersonaleshabíansidoprotegidosmediantelasmedidastécnicasdeprotecciónadecuadas,limitandoeficazmentelaprobabilidaddeusurpacióndeidentidaduotrasformasdeuso indebido.Asimismo,estasnormasyprocedimientosdeben teneren cuenta los intereseslegítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizarinnecesariamente la investigación de las circunstancias de una violación de la seguridad de los datospersonales.LaCompañíadeberállevaracabounaevaluacióndeimpactoenlaproteccióndedatos,elresponsabledeltratamientotendráencuentalasmedidasprevistasparaafrontarlosriesgos,incluidasgarantías,medidasdeseguridadymecanismosquegaranticenlaproteccióndedatospersonales.DeberdesecretoUnprincipiobásicoypersonalparatodapersonaqueintervengaeneltratamientodedatospersonalesessuobligacióndesecretoprofesionalrespectodedichosdatosysudeberdeguardarlos,subsistiendodichasobligacionesaúndespuésdefinalizarsusrelacionesconelresponsabledeltratamientoo,ensucaso,conelencargadodeltratamiento.Porlotanto,nodeberevelarsebajoningúnconceptoinformacióndecarácterpersonalaterceraspersonasdistintasdel/ainteresado/a,auncuandoexistavínculodeparentesco(nisiquieraverbalmente),salvoqueseestablezcaporLeyoporexpresaautorizacióndelinteresado.MOVIMIENTOINTERNACIONALDEDATOSPERSONALESCualquierDepartamentoquenecesite transferirdatosdecarácterpersonal fueradelEspacioEconómicoEuropeo,loconsultarápreviamenteconelDepartamentoJurídicodeBOOMERANGTV.Soloserealizarántransferenciasdedatospersonalesqueseanobjetodetratamientoovayanaserlotrassutransferenciaauntercerpaísuorganizacióninternacionalsi,tantoBOOMERANGTVcomolosresponsablesyelencargadosdeltratamientoqueintervenganenlatransferencia,cumplenlascondicionesestablecidasenelRGPD,incluidaslasrelativasalastransferenciasulterioresdedatospersonalesdesdeeltercerpaísuorganizacióninternacionalaotrotercerpaísuotraorganizacióninternacional.Lasreglasatenerencuentaseránlassiguientes:

PodrárealizarseunatransferenciadedatospersonalesauntercerpaísuorganizacióninternacionalcuandolaComisiónhayadecidido(medianteactodeejecuciónoDecisiónadecuada)queeltercerpaís,unterritorioo uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trategarantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorizaciónespecífica.Afaltadelactoy/oDecisióndelaComisión,BOOMERANGTVsolopodrátransmitirdatospersonalesauntercerpaísuorganización internacionalsihubieraofrecidogarantíasadecuadasyacondicióndeque losinteresadoscuentenconderechosexigiblesyaccioneslegalesefectivas.LasgarantíasadecuadasconarregloalRGPDpodránseraportadas,sinqueserequieraningunaautorizaciónexpresadeunaautoridaddecontrol,por:

a) uninstrumentojurídicamentevinculanteyexigibleentrelasautoridadesuorganismospúblicos;b) normas corporativas vinculantes aprobadas por la Autoridad de Control de conformidad con el

mecanismodecoherenciadelartículo63delRGPD.c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el

procedimientodeexamenaqueserefiereelartículo93,apartado2delRGPD;d) cláusulastipodeproteccióndedatosadoptadasporunaautoridaddecontrolyaprobadaspor la

Comisiónconarregloalprocedimientodeexamenaqueserefiereenelartículo93,apartado2delRGPD.

e) uncódigodeconductaaprobadoconarregloalartículo40, juntoconcompromisosvinculantesyexigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantíasadecuadas,incluidaslarelativasalosderechosdelosinteresados,o;

f) unmecanismodecertificaciónaprobadoconarregloalartículo42delRGPD,juntoconcompromisosvinculantesyexigiblesdelresponsableoelencargadodeltratamientoeneltercerpaísdeaplicargarantíasadecuadas,incluidaslarelativasalosderechosdelosinteresados.

Además, BOOMERANG TV podrá aportar sus propias garantías adecuadas, en cuyo caso será precisa yobligatorialaautorizacióndelaAgenciaEspañoladeProteccióndeDatos,mediante:

a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado odestinatariodelosdatospersonaleseneltercerpaísuorganizacióninternacional,o

b) disposicionesque se incorporenen acuerdos administrativos entre las autoridadesuorganismospúblicosqueincluyanderechosefectivosyexigiblesparalosinteresados.

Enausenciadeunactoy/oDecisióndeadecuacióndelaComisión,odelasgarantíasadecuadas,incluidaslasnormascorporativasvinculantes,unatransferenciaounconjuntodetransferenciasdedatospersonalesaun tercerpaísuorganización internacionalúnicamente se realizaráporBOOMERANGTV si se cumplealgunadelascondicionessiguientes:

a) elinteresadohayadadoexplícitamentesuconsentimientoalatransferenciapropuesta,trashabersidoinformadodelosposiblesriesgosparaéldedichastransferenciasdebidoalaausenciadeunadecisióndeadecuaciónydegarantíasadecuadas;

b) latransferenciaesnecesariaparalaejecucióndeuncontratoentreelinteresadoyelresponsabledel tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud delinteresado;

c) latransferenciaesnecesariaparalacelebraciónoejecucióndeuncontrato,eninterésdelinteresado,entreelresponsabledeltratamientoyotrapersonafísicaojurídica;

d) latransferenciaesnecesariaporrazonesimportantesdeinteréspúblico;e) latransferenciaesnecesariaparalaformulación,elejerciciooladefensadereclamaciones;f) latransferenciaesnecesariaparaprotegerlosinteresesvitalesdelinteresadoodeotraspersonas,

cuandoelinteresadoestéfísicaojurídicamenteincapacitadoparadarsuconsentimiento;g) latransferenciaserealizadesdeunregistropúblicoque,conarregloalDerechodelaUniónodelos

Estadosmiembros,tengaporobjetofacilitarinformaciónalpúblicoyestéabiertoalaconsultadelpúblicoengeneralodecualquierpersonaquepuedaacreditaruninteréslegítimo,perosóloenlamedidaenquesecumplan,encadacasoparticular,lascondicionesqueestableceelDerechodelaUniónodelosEstadosmiembrosparalaconsulta.

Cuando una transferencia no pueda basarse en un acto o Decisión de la Comisión o en las garantíasadecuadas,incluidaslasdisposicionessobrenormascorporativasvinculantes,ynoseaaplicableningunadelasexcepcionesparasituacionesespecíficasdelasmencionadasenelapartadoanterior,solosepodrállevaracabolatransferenciainternacionalporBOOMERANGTVsisecumplentodoslossiguientesrequisitos:

a) sinoesrepetitiva;b) siafectasoloaunnúmerolimitadodeinteresados;c) siesnecesariaalosfinesdeintereseslegítimosimperiososperseguidosporelBOOMERANGTV

sobrelosquenoprevalezcanlosinteresesoderechosylibertadesdelinteresado;d) sisehanevaluadotodaslascircunstanciasconcurrentesenlatransferenciadedatosy,basándose

enestaevaluación,BOOMERANGTVofrecegarantíasapropiadasconrespectoalaproteccióndedatospersonales.

EnestoscasosBOOMERANGTVdeberáinformaralaautoridaddecontroldelatransferenciay,ademásdela información a que hacen referencia los artículos 13 y 14 del RGPD, BOOMERANG TV informará alinteresadodelatransferenciaydelosintereseslegítimosimperiososperseguidos.BOOMERANGTVdocumentaráensusregistrosdeactividadlaevaluaciónylasgarantíasapropiadasreferidasenlosapartadosanteriores.InfraccionesysancionesprevistasenlanormativavigenteLas infracciones de lo establecido en el RPGD se sancionarán por la Autoridad de Control, entre otrassanciones,conmultasadministrativasque,enfuncióndeltipodeinfracciónpodránoscilarentre10.000.000€comomáximoo,tratándosedeunaempresa,deunacuantíaequivalenteal2%comomáximodelvolumendenegociototalanualglobaldelejerciciofinancieroanterior,optándoseporlademayorcuantía,ymultasadministrativasde20.000.000€comomáximoo,tratándosedeunaempresa,deunacuantíaequivalenteal4%comomáximodelvolumendenegociototalanualglobaldelejerciciofinancieroanterior,optándoseporlademayorcuantía.ActuacionesenrelaciónconlaAgenciaEspañoladeProteccióndeDatosCorrespondealDelegadodeProteccióndeDatosdeBOOMERANGTVlainterlocuciónyelmantenimientode las relaciones institucionales con la Agencia Española de Protección de Datos, sin perjuicio de la

colaboraciónde laDireccióndeServicios Jurídicos,Responsabledeseguridadyde lasUnidades internasresponsablesdecadafichero.ComoconsecuenciadelejerciciodelaspotestadesquelaLeyreconocealaDirectoradelaAgenciaEspañoladeProteccióndeDatosenloreferenteasolicitudesdeinformaciónyaccionesinspectoras,yconelfindeobteneruna interlocuciónúnicaante laAgenciaEspañoladeProteccióndeDatos,elDepartamentoquereciba aviso de inspección o solicitud de información de la Agencia Española de Protección deDatos lopondráenconocimientoinmediatamentedelDelegadodeProteccióndeDatos.ParaelsupuestodeunaInspección,elDelegadodeProteccióndeDatoscompareceráadichoacto,sinquedebainiciarselaactuacióninspectorasinsupresencia.EncasodenotificacióndeprocedimientoosolicituddeinformaciónseremitiráalDelegadodeProteccióndeDatosescritooriginalrecibidodelaAgenciainformandodelafechadenotificación,asícomoinformaciónsobrelosextremossolicitadosporestaúltimasiobranensuUnidad.ElDelegadodeProteccióndeDatosremitirálacontestaciónqueprocedaaesteOrganismo.ObligacionesdelpersonalTodoelpersonaldeBOOMERANG TVtienelaobligacióndeconocerycumplir lapresentepolítica, lasnormativas,medidasyprocedimientosderivadosdelamisma.ElincumplimientodelapresentePolíticadeProteccióndeDatosolanormativa,medidasyprocedimientosderivados de ésta podrá acarrear el inicio de medidas disciplinarias oportunas y, en su caso, lasresponsabilidadeslegalescorrespondientes.ConsultasCualquier consulta en relación con la presente política, podrá ser consultada a la dirección de email:protecciondedatos@boomerangtv.comAsimismo,cualquierpropuestademodificacióndelapresentenormasedirigiráalDepartamentoJurídicodeBOOMERANGTV.EfectividadLa presente normativa entrará en vigor el día de su publicación en la web corporativa:www.grupoboomerangtv.com,quedandoderogadacualquierversiónanteriorydesdeesemomentoserádeobligadaaplicaciónycumplimientoportodoslosempleados.AprobacióndelapolíticaLapresentepolíticahasidoaprobadaporelDirectorCorporativo,yratificadaenConsejodeAdministración.Modificaciónyactualizacióndelapolítica

Lapresentepolíticapuedesermodificaday/oactualizadaporlaDirecciónCorporativadeBOOMERANGTVcuandoseanecesario,yratificadaenConsejodeAdministración,paraadaptarlaacambioslegalesonormativosdelaorganización.