Política de Privacidad

1. INTRODUCCIÓN Y OBJETO

La presente Política de Privacidad tiene por objeto informar a los usuarios del sitio web gruporealejo.es, así como a alumnos, candidatos a empleo, proveedores y cualquier otra persona física con la que AUTOESCUELA EL REALEJO S.L. mantenga relaciones, sobre el tratamiento de sus datos personales, en cumplimiento de la normativa vigente en materia de protección de datos de carácter personal.

1.1. Normativa aplicable

El tratamiento de datos personales realizado por AUTOESCUELA EL REALEJO S.L. se rige por las siguientes disposiciones legales:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (en lo que no se oponga al RGPD).

1.2. Ámbito de aplicación

Esta Política de Privacidad se aplica a todos los datos personales tratados por AUTOESCUELA EL REALEJO S.L., incluyendo:

• Datos recogidos a través del sitio web gruporealejo.es
• Datos proporcionados mediante formularios online de matrícula
• Datos facilitados presencialmente en nuestras oficinas
• Datos recogidos mediante comunicaciones telefónicas, email o WhatsApp
• Datos obtenidos a través de redes sociales (Instagram, Facebook)
• Datos de videovigilancia en nuestras instalaciones
• Datos de empleados, candidatos y colaboradores
• Datos de proveedores y partners comerciales

1.3. Importancia de la lectura

Es importante que lea detenidamente esta Política de Privacidad antes de facilitar sus datos personales a AUTOESCUELA EL REALEJO S.L. Al proporcionar sus datos, ya sea a través del sitio web, en nuestras oficinas o por cualquier otro medio, usted acepta expresamente el contenido de esta Política de Privacidad y consiente el tratamiento de sus datos personales conforme a lo establecido en la misma.

1.4. Transparencia y claridad

Esta Política de Privacidad ha sido redactada de manera clara, transparente y comprensible, evitando en la medida de lo posible términos técnicos o jurídicos complejos. Nuestro objetivo es que cualquier persona pueda entender perfectamente cómo tratamos sus datos personales y cuáles son sus derechos al respecto.

2. RESPONSABLE DEL TRATAMIENTO DE DATOS

El responsable del tratamiento de sus datos personales es AUTOESCUELA EL REALEJO S.L., entidad debidamente constituida conforme a la legislación española, cuyos datos identificativos son los siguientes:

2.1. Concepto de responsable del tratamiento

Conforme al artículo 4.7 del RGPD, el responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales. En este caso, AUTOESCUELA EL REALEJO S.L. actúa como responsable del tratamiento de los datos personales de sus alumnos, usuarios del sitio web, empleados, candidatos, proveedores y demás personas con las que mantiene relaciones.

2.2. Responsabilidades del responsable

Como responsable del tratamiento, AUTOESCUELA EL REALEJO S.L. asume las siguientes responsabilidades:

• Determinar los fines y medios del tratamiento de datos personales
• Garantizar el cumplimiento de los principios de protección de datos
• Implementar medidas técnicas y organizativas apropiadas
• Poder demostrar el cumplimiento de la normativa (principio de responsabilidad proactiva)
• Garantizar los derechos de los interesados
• Notificar las brechas de seguridad a la autoridad de control
• Realizar evaluaciones de impacto cuando sea necesario
• Designar un Delegado de Protección de Datos cuando proceda
• Mantener un registro de actividades de tratamiento
• Cooperar con la autoridad de control

2.3. Datos de contacto para cuestiones de privacidad

Para cualquier consulta, solicitud o ejercicio de derechos relacionados con la protección de datos personales, puede contactar con nosotros a través de:

• Correo electrónico: info@gruporealejo.es (asunto: "Protección de Datos - RGPD")
• Correo postal: C. Realejo, 6, Centro, 14002 Córdoba (indicando "Protección de Datos - RGPD")
• Presencialmente: En cualquiera de nuestras 10 oficinas en Córdoba

3. DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Conforme al artículo 37 del RGPD y al artículo 34 de la LOPDGDD, la designación de un Delegado de Protección de Datos (DPD o DPO en inglés, Data Protection Officer) es obligatoria en determinados supuestos. AUTOESCUELA EL REALEJO S.L. ha evaluado la necesidad de designar un DPD según los criterios establecidos en la normativa.

3.1. Evaluación de la obligación de designar DPD

El artículo 37.1 del RGPD establece que el nombramiento de un DPD es obligatorio cuando:

• El tratamiento lo lleve a cabo una autoridad u organismo público (no aplicable a nuestra empresa privada).
• Las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos (datos sensibles) o datos relativos a condenas e infracciones penales.

3.2. Situación de AUTOESCUELA EL REALEJO S.L.

Tras realizar el análisis correspondiente, AUTOESCUELA EL REALEJO S.L. ha determinado que, en base al volumen de datos tratados, la naturaleza de los tratamientos realizados y la ausencia de tratamiento masivo de datos sensibles, no está obligada a designar un Delegado de Protección de Datos. No obstante, la empresa mantiene una vigilancia continua sobre sus actividades de tratamiento y, en caso de que las circunstancias cambien, procederá a la designación de un DPD de forma inmediata.

3.3. Punto de contacto para protección de datos

Aunque no se haya designado un DPD de forma obligatoria, AUTOESCUELA EL REALEJO S.L. ha establecido un punto de contacto específico para todas las cuestiones relacionadas con la protección de datos personales. Todas las consultas, solicitudes de ejercicio de derechos y comunicaciones sobre privacidad serán atendidas por personal cualificado a través de:

3.4. Funciones del punto de contacto

El punto de contacto de protección de datos de AUTOESCUELA EL REALEJO S.L. tiene asignadas las siguientes funciones:

• Atender las solicitudes de ejercicio de derechos de los interesados
• Responder a consultas sobre tratamiento de datos personales
• Supervisar el cumplimiento de la normativa de protección de datos
• Asesorar sobre evaluaciones de impacto en la protección de datos
• Cooperar con la Agencia Española de Protección de Datos
• Actuar como punto de contacto con la autoridad de control
• Coordinar la gestión de brechas de seguridad
• Promover la cultura de protección de datos en la organización

4. PRINCIPIOS RECTORES DEL TRATAMIENTO DE DATOS

AUTOESCUELA EL REALEJO S.L. se compromete a tratar los datos personales conforme a los principios establecidos en el artículo 5 del RGPD. Todos los tratamientos de datos que realizamos cumplen con los siguientes principios fundamentales:

4.1. Licitud, lealtad y transparencia

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Esto significa que:

• Licitud: Solo tratamos datos cuando existe una base jurídica que lo legitima (consentimiento, contrato, obligación legal, etc.).
• Lealtad: Tratamos los datos de forma coherente con las expectativas razonables del interesado, sin utilizar medios engañosos o fraudulentos.
• Transparencia: Informamos de forma clara y accesible sobre cómo, por qué y para qué tratamos los datos personales.

4.2. Limitación de la finalidad

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Cada tratamiento de datos tiene una finalidad específica que comunicamos al interesado en el momento de la recogida. No utilizaremos sus datos para propósitos distintos sin obtener su consentimiento previo.

4.3. Minimización de datos

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Solo recogemos y tratamos aquellos datos que sean estrictamente necesarios para cumplir con la finalidad declarada. No solicitamos información excesiva o irrelevante.

4.4. Exactitud

Los datos personales serán exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Solicitamos a los interesados que nos comuniquen cualquier cambio en sus datos para mantener la información actualizada.

4.5. Limitación del plazo de conservación

Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. Los datos se conservarán únicamente durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recogidos o para cumplir con obligaciones legales.

4.6. Integridad y confidencialidad (seguridad)

Los datos personales serán tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas. Implementamos sistemas de seguridad robustos, cifrado, control de accesos y protocolos de actuación ante incidentes.

4.7. Responsabilidad proactiva (accountability)

El responsable del tratamiento será responsable del cumplimiento de todos los principios anteriores y capaz de demostrarlo. AUTOESCUELA EL REALEJO S.L. mantiene un registro de actividades de tratamiento, realiza evaluaciones de impacto cuando es necesario, documenta las medidas de seguridad implementadas y puede demostrar en cualquier momento el cumplimiento de la normativa de protección de datos.

5. CATEGORÍAS DE DATOS PERSONALES RECOGIDOS

AUTOESCUELA EL REALEJO S.L. puede recoger y tratar diferentes categorías de datos personales en función de la relación que mantenga con el interesado (alumno, usuario web, candidato a empleo, proveedor, etc.). A continuación, detallamos exhaustivamente las categorías de datos que pueden ser objeto de tratamiento:

5.1. Datos de identificación personal

Datos recogidos:

• Nombre y apellidos completos
• Documento Nacional de Identidad (DNI) o Número de Identificación de Extranjero (NIE)
• Fecha de nacimiento
• Edad
• Nacionalidad
• Fotografía (para tramitación de permisos de conducción)
• Firma manuscrita digitalizada (capturada mediante canvas HTML5)

Origen: Facilitados directamente por el interesado a través de formularios online, presencialmente en nuestras oficinas o por otros medios de comunicación.

5.2. Datos de contacto

Datos recogidos:

• Dirección postal completa (calle, número, piso, código postal, localidad, provincia)
• Teléfono fijo
• Teléfono móvil
• Correo electrónico personal
• Perfiles de redes sociales (Instagram, Facebook) si se proporcionan voluntariamente
• Número de WhatsApp (si autoriza el contacto por esta vía)

5.3. Datos económicos y de pago

Datos recogidos:

• Datos bancarios: número de tarjeta de crédito/débito (tokenizado por CECABANK)
• Nombre del titular de la tarjeta
• Fecha de caducidad de la tarjeta
• Información sobre transacciones realizadas
• Historial de pagos y facturas
• Información sobre deudas o impagos

Importante: Los datos completos de tarjetas bancarias son procesados directamente por CECABANK S.A. (entidad PCI-DSS certificada) y no se almacenan en los sistemas de AUTOESCUELA EL REALEJO S.L. Solo conservamos un token identificativo de la transacción.

5.4. Datos académicos y profesionales

Datos recogidos:

• Permisos de conducción que ya posee el interesado
• Permiso de conducción solicitado/matriculado
• Oficina seleccionada para la formación
• Historial de exámenes teóricos y prácticos (fechas, resultados, calificaciones)
• Asistencia a clases teóricas y prácticas
• Evolución del aprendizaje y evaluaciones del instructor
• Incidencias durante la formación
• Certificados médico-psicotécnicos (solo cuando sean necesarios para la tramitación)
• Datos de Currículum Vitae (para candidatos a empleo): formación, experiencia laboral, referencias

5.5. Datos de navegación web (cookies y similares)

Datos recogidos:

• Dirección IP del dispositivo
• Tipo y versión del navegador utilizado
• Sistema operativo del dispositivo
• Páginas web visitadas dentro de nuestro sitio
• Tiempo de permanencia en cada página
• Origen del tráfico (cómo ha llegado a nuestro sitio: buscador, enlace directo, red social)
• Idioma del navegador
• Resolución de pantalla
• Fecha y hora de acceso

Para más información sobre cookies, consulte nuestra Política de Cookies específica.

5.6. Datos de videovigilancia

Datos recogidos:

• Imágenes captadas por las cámaras de seguridad instaladas en nuestras oficinas
• Fecha y hora de captación
• Ubicación dentro de las instalaciones

Finalidad: Seguridad de las instalaciones, prevención de robos, protección de bienes y personas. Todas las zonas videovigiladas están debidamente señalizadas conforme a la normativa.

5.7. Datos de comunicaciones

Datos recogidos:

• Contenido de correos electrónicos intercambiados
• Mensajes de WhatsApp (cuando el usuario nos contacta por esta vía)
• Grabaciones de llamadas telefónicas (solo si se informa expresamente y se solicita consentimiento)
• Mensajes directos en redes sociales
• Formularios de contacto cumplimentados en el sitio web

5.8. Datos especiales (categorías especiales)

AUTOESCUELA EL REALEJO S.L. NO trata de forma habitual categorías especiales de datos (datos sensibles) tal y como se definen en el artículo 9 del RGPD, que incluyen:

• Origen étnico o racial
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona
• Datos relativos a la salud
• Datos relativos a la vida sexual u orientación sexual

5.9. Datos de menores de edad

Algunos permisos de conducción pueden obtenerse a partir de los 15, 16 o 18 años según el tipo. Cuando el solicitante sea menor de edad, se requiere la autorización expresa de los padres, tutores o representantes legales para el tratamiento de sus datos personales, conforme al artículo 8 del RGPD y artículo 7 de la LOPDGDD.

5.10. Veracidad de los datos facilitados

El interesado garantiza que todos los datos personales facilitados a AUTOESCUELA EL REALEJO S.L. son verdaderos, exactos, completos y actualizados. El interesado es el único responsable de cualquier daño o perjuicio, directo o indirecto, que pudiera ocasionarse como consecuencia del incumplimiento de esta obligación.

Es responsabilidad del interesado mantener sus datos actualizados, comunicando cualquier modificación a través de los canales de contacto facilitados.

6. FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES

Los datos personales recogidos por AUTOESCUELA EL REALEJO S.L. se tratan para cumplir con finalidades concretas, determinadas, explícitas y legítimas. A continuación, detallamos las finalidades específicas para cada tipo de tratamiento:

6.1. Finalidades basadas en el consentimiento

Algunas finalidades requieren el consentimiento expreso del interesado, que puede retirarse en cualquier momento sin que ello afecte a la licitud del tratamiento previo:

• Envío de comunicaciones comerciales: Newsletter, promociones, ofertas especiales.
• Uso de cookies no técnicas: Cookies analíticas, de personalización, publicitarias.
• Publicación de fotografías o vídeos: En redes sociales, sitio web, material promocional (excepto cuando se trate de eventos públicos).
• Conservación de currículos: Más allá del proceso de selección activo para futuras oportunidades.

6.2. Finalidades basadas en el cumplimiento de obligaciones legales

Algunos tratamientos son necesarios para cumplir con obligaciones legales aplicables a AUTOESCUELA EL REALEJO S.L.:

• Emisión de facturas y documentos fiscales (Ley General Tributaria)
• Conservación de documentación contable (Código de Comercio)
• Comunicación de datos a la Dirección General de Tráfico para expedición de permisos
• Comunicación de datos a la Agencia Tributaria y Seguridad Social
• Prevención del blanqueo de capitales cuando proceda

6.3. Compromiso de no usar datos para otros fines

AUTOESCUELA EL REALEJO S.L. se compromete a NO utilizar los datos personales para finalidades distintas de las indicadas sin obtener el consentimiento previo y expreso del interesado. En caso de que deseemos utilizar los datos para una finalidad nueva, incompatible con la original, solicitaremos su autorización.

7. BASES JURÍDICAS DEL TRATAMIENTO

Conforme al artículo 6 del RGPD, el tratamiento de datos personales solo es lícito si se cumple al menos una de las condiciones establecidas en dicho artículo. AUTOESCUELA EL REALEJO S.L. basa sus tratamientos de datos en las siguientes bases jurídicas:

7.1. Consentimiento del interesado (art. 6.1.a RGPD)

El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. Esta base jurídica se aplica en los siguientes casos:

• Envío de comunicaciones comerciales: Newsletter, ofertas, promociones, información sobre nuevos servicios (opt-in activo).
• Cookies no técnicas: Instalación y uso de cookies analíticas, de personalización o publicitarias (requiere consentimiento mediante banner).
• Publicación de imágenes: Uso de fotografías o vídeos en los que aparezca el interesado en redes sociales, web o material promocional.
• Conservación de datos de candidatos: Más allá del proceso de selección para futuras oportunidades laborales.
• Firma digital de contratos: Captura de firma manuscrita mediante canvas HTML5 para su inclusión en contratos digitales.

Características del consentimiento válido:

• Debe ser libre: Sin coacción, presión o condicionamiento.
• Debe ser específico: Para fines concretos y determinados.
• Debe ser informado: El interesado debe conocer qué datos se tratan, para qué y quién los trata.
• Debe ser inequívoco: Mediante declaración o acción afirmativa clara (marcar casilla, firmar documento, aceptar términos).
• Es revocable: Puede retirarse en cualquier momento, tan fácilmente como se otorgó.

7.2. Ejecución de un contrato (art. 6.1.b RGPD)

El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición del interesado, de medidas precontractuales. Esta base jurídica se aplica en los siguientes casos:

• Gestión de matriculación: Tramitación de la inscripción del alumno en el permiso de conducción solicitado.
• Prestación del servicio educativo: Impartición de clases teóricas y prácticas, gestión de exámenes, seguimiento del progreso del alumno.
• Comunicaciones esenciales: Recordatorios de clases, cambios de horarios, fechas de exámenes, información sobre el servicio contratado.
• Gestión de pagos: Procesamiento de transacciones, emisión de recibos y facturas relacionadas con el servicio contratado.
• Tramitación administrativa: Presentación de documentación ante la DGT para la obtención del permiso de conducción.
• Relación laboral: Gestión de nóminas, contratos, cotizaciones sociales de empleados.
• Relación con proveedores: Gestión de pedidos, facturas, pagos, comunicaciones comerciales.

Importante: Si el interesado no facilita los datos necesarios para la ejecución del contrato, AUTOESCUELA EL REALEJO S.L. no podrá prestar el servicio solicitado ni cumplir con las obligaciones contractuales.

7.3. Cumplimiento de una obligación legal (art. 6.1.c RGPD)

El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Esta base jurídica se aplica en los siguientes casos:

• Obligaciones fiscales y tributarias:
  • Emisión de facturas conforme a la Ley 58/2003, General Tributaria.
  • Conservación de documentación contable durante 6 años (Código de Comercio, art. 30).
  • Declaraciones informativas a la Agencia Tributaria (modelo 347, retenciones IRPF, etc.).
• Obligaciones laborales y de Seguridad Social:
  • Comunicación de datos de empleados a la Tesorería General de la Seguridad Social.
  • Conservación de documentación laboral según el Estatuto de los Trabajadores.
  • Prevención de riesgos laborales conforme a la Ley 31/1995.
• Obligaciones del sector autoescuelas:
  • Comunicación de datos de alumnos a la Dirección General de Tráfico para expedición de permisos.
  • Cumplimiento del Reglamento General de Conductores (RD 818/2009).
  • Cumplimiento del Reglamento de escuelas particulares de conductores (RD 1295/2003).
• Prevención del blanqueo de capitales:
  • Identificación y diligencia debida cuando aplique la Ley 10/2010.

7.4. Interés legítimo del responsable (art. 6.1.f RGPD)

El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Esta base jurídica se aplica en los siguientes casos:

• Seguridad de las instalaciones: Videovigilancia para protección de bienes y personas, prevención de robos, seguridad de empleados y usuarios.
• Prevención del fraude: Detección de pagos fraudulentos, identificación de comportamientos sospechosos, protección contra suplantación de identidad.
• Análisis estadístico interno: Mejora de servicios, optimización de procesos, estudios de satisfacción, evaluación de calidad.
• Ejercicio de acciones legales: Defensa en procedimientos judiciales, reclamación de deudas, cumplimiento de resoluciones judiciales.
• Seguridad informática: Protección de sistemas, prevención de ataques cibernéticos, detección de vulnerabilidades.
• Mejora del sitio web: Análisis de navegación para optimizar la experiencia de usuario, detectar errores técnicos.

7.5. Protección de intereses vitales (art. 6.1.d RGPD)

El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. Esta base jurídica solo se aplica en situaciones excepcionales, como:

• Emergencias médicas durante clases prácticas que requieran comunicación de datos de salud a servicios de urgencia.
• Accidentes graves que requieran actuación inmediata para proteger la vida o integridad física.

7.6. Ausencia de otras bases jurídicas aplicables

AUTOESCUELA EL REALEJO S.L. NO basa ningún tratamiento de datos en:

• Art. 6.1.e RGPD: Misión realizada en interés público o ejercicio de poderes públicos (no aplicable a empresas privadas).

8. PLAZOS DE CONSERVACIÓN DE DATOS PERSONALES

Los datos personales serán conservados únicamente durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recogidos, así como para atender posibles responsabilidades legales, conforme al principio de limitación del plazo de conservación establecido en el artículo 5.1.e del RGPD.

8.1. Criterios para determinar los plazos

AUTOESCUELA EL REALEJO S.L. determina los plazos de conservación en función de:

• Duración de la relación contractual: Mientras el contrato esté vigente y el servicio se esté prestando.
• Obligaciones legales: Plazos establecidos por leyes fiscales, laborales, mercantiles y sectoriales.
• Plazos de prescripción: Tiempo durante el cual pueden ejercitarse acciones legales (generalmente 5-6 años según la materia).
• Necesidad de conservación: Mientras sea necesario para cumplir con la finalidad que justificó la recogida.
• Consentimiento otorgado: Hasta que el interesado retire su consentimiento (en tratamientos basados en consentimiento).

8.2. Plazos específicos de conservación

8.3. Proceso de eliminación o anonimización

Una vez transcurridos los plazos de conservación establecidos, AUTOESCUELA EL REALEJO S.L. procederá a:

• Eliminación segura: Supresión definitiva de los datos personales de todos los sistemas (bases de datos, copias de seguridad, archivos físicos) utilizando métodos que impidan su recuperación.
• Anonimización: En caso de que sea necesario conservar la información con fines estadísticos o históricos, se procederá a la anonimización irreversible de los datos, de forma que no sea posible identificar al interesado.
• Bloqueo: En casos excepcionales donde sea legalmente necesario conservar los datos bloqueados (por ejemplo, para atender posibles responsabilidades), se limitará su tratamiento exclusivamente a dicha finalidad.

8.4. Revisión periódica

AUTOESCUELA EL REALEJO S.L. realiza revisiones periódicas (al menos anualmente) de los datos personales almacenados para:

• Identificar datos cuyo plazo de conservación ha expirado
• Proceder a su eliminación o anonimización
• Verificar que no se conservan datos innecesarios
• Actualizar los criterios de conservación según cambios normativos
• Documentar el proceso de revisión y eliminación

9. DESTINATARIOS Y CESIONES DE DATOS PERSONALES

AUTOESCUELA EL REALEJO S.L. puede comunicar o ceder datos personales a terceros cuando sea necesario para cumplir con las finalidades del tratamiento, exista obligación legal o el interesado haya prestado su consentimiento. A continuación, detallamos exhaustivamente todos los posibles destinatarios de los datos:

9.1. Cesiones obligatorias por ley

Conforme a la normativa vigente, AUTOESCUELA EL REALEJO S.L. está obligada a comunicar datos personales a las siguientes entidades:

Dirección General de Tráfico (DGT)

• Datos comunicados: Identificación completa del alumno, fotografía, datos del permiso solicitado, resultados de exámenes, certificados médicos cuando proceda.
• Finalidad: Tramitación y expedición de permisos de conducción.
• Base jurídica: Cumplimiento de obligación legal (Reglamento General de Conductores, RD 818/2009).
• Normativa: Real Decreto 818/2009, de 8 de mayo, por el que se aprueba el Reglamento General de Conductores.

Agencia Estatal de Administración Tributaria (AEAT)

• Datos comunicados: Datos identificativos y fiscales de alumnos, proveedores y empleados, datos de facturación, declaraciones informativas.
• Finalidad: Cumplimiento de obligaciones fiscales y tributarias.
• Base jurídica: Cumplimiento de obligación legal (Ley 58/2003, General Tributaria).
• Declaraciones: Modelo 347 (operaciones con terceros), retenciones IRPF, IVA, Impuesto de Sociedades.

Tesorería General de la Seguridad Social (TGSS)

• Datos comunicados: Datos identificativos, laborales y de cotización de empleados.
• Finalidad: Cumplimiento de obligaciones en materia de Seguridad Social.
• Base jurídica: Cumplimiento de obligación legal (Ley General de la Seguridad Social).

Juzgados y Tribunales

• Datos comunicados: Los que sean requeridos mediante requerimiento judicial.
• Finalidad: Cumplimiento de obligaciones legales, colaboración con la Administración de Justicia.
• Base jurídica: Cumplimiento de obligación legal (Ley de Enjuiciamiento Civil, Ley de Enjuiciamiento Criminal).

Fuerzas y Cuerpos de Seguridad del Estado

• Datos comunicados: Los que sean requeridos mediante orden judicial o en el marco de investigaciones de delitos.
• Finalidad: Colaboración en investigaciones, prevención de delitos.
• Base jurídica: Cumplimiento de obligación legal.

9.2. Cesiones a encargados del tratamiento

AUTOESCUELA EL REALEJO S.L. puede contratar proveedores de servicios que actúan como encargados del tratamiento, accediendo a datos personales bajo estrictas condiciones contractuales:

CECABANK S.A. - Pasarela de pago

Proveedores de servicios tecnológicos

• Servicios de hosting web: Alojamiento del sitio web y bases de datos en servidores seguros.
  • Datos accedidos: Todos los datos almacenados en el sitio web
  • Ubicación: Unión Europea (servidores en España/UE)
  • Garantías: Certificación ISO 27001, contrato de encargado del tratamiento
• Servicios de email: Gestión de correos electrónicos corporativos.
  • Datos accedidos: Comunicaciones por email
  • Garantías: Cifrado TLS, autenticación robusta, copias de seguridad
• Sistemas de copias de seguridad: Backup y recuperación de datos.
  • Datos accedidos: Copia de todas las bases de datos
  • Ubicación: Servidores en la UE
  • Garantías: Cifrado AES-256, acceso restringido

Google Analytics - Análisis web

• Servicio prestado: Análisis estadístico del tráfico web
• Datos accedidos: Dirección IP (anonimizada), datos de navegación, cookies
• Proveedor: Google LLC (con cláusulas contractuales tipo de la Comisión Europea)
• Configuración: Anonimización de IP activada, compartición de datos desactivada
• Base jurídica: Consentimiento del usuario (cookies analíticas)
• Más información: Google Privacy Policy

Asesoría fiscal, laboral y jurídica

• Servicios prestados: Asesoramiento fiscal, gestión laboral, defensa jurídica
• Datos accedidos: Los necesarios para prestar los servicios contratados
• Garantías: Secreto profesional, contrato de encargado del tratamiento, obligaciones deontológicas

Gestoría administrativa

• Servicios prestados: Tramitación de expedientes ante la DGT, gestión documental
• Datos accedidos: Datos de alumnos necesarios para la tramitación
• Garantías: Contrato de encargado del tratamiento, confidencialidad

9.3. No venta de datos a terceros

9.4. Requisitos contractuales con encargados del tratamiento

Todos los encargados del tratamiento que acceden a datos personales por cuenta de AUTOESCUELA EL REALEJO S.L. están obligados contractualmente a:

• Tratar los datos únicamente siguiendo instrucciones documentadas del responsable
• No aplicar los datos a fines distintos de los establecidos en el contrato
• Garantizar que las personas autorizadas a tratar datos se comprometan a respetar la confidencialidad
• Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad
• No subcontratar sin autorización previa, expresa y por escrito
• Asistir al responsable en la respuesta a ejercicio de derechos de los interesados
• Asistir al responsable en el cumplimiento de obligaciones (evaluaciones de impacto, notificación de brechas)
• Suprimir o devolver los datos al finalizar la prestación del servicio
• Poner a disposición del responsable información necesaria para demostrar el cumplimiento

9.5. Información sobre comunicaciones futuras

Si en el futuro AUTOESCUELA EL REALEJO S.L. necesitara comunicar datos personales a nuevos destinatarios distintos de los indicados, informará previamente al interesado de forma clara y transparente, indicando:

• Identidad del destinatario
• Finalidad de la comunicación
• Categorías de datos comunicados
• Base jurídica que legitima la cesión
• Garantías aplicables

En caso de que la comunicación requiera consentimiento, este se solicitará expresamente antes de realizar la cesión.

10. TRANSFERENCIAS INTERNACIONALES DE DATOS

Las transferencias internacionales de datos son aquellas comunicaciones de datos personales que tienen lugar cuando el destinatario se encuentra fuera del Espacio Económico Europeo (EEE), es decir, fuera de los 27 países de la Unión Europea más Islandia, Liechtenstein y Noruega.

10.1. Política general sobre transferencias internacionales

Con carácter general, AUTOESCUELA EL REALEJO S.L. NO realiza transferencias internacionales de datos personales fuera del Espacio Económico Europeo. Todos nuestros proveedores de servicios tecnológicos, encargados del tratamiento y partners comerciales están ubicados en España o en países de la Unión Europea.

10.2. Excepciones: Google Analytics

La única excepción potencial se refiere al uso de Google Analytics para análisis estadístico del sitio web. Google LLC es una empresa estadounidense, por lo que técnicamente podría implicar una transferencia internacional de datos. No obstante:

• Anonimización de IP: Hemos configurado Google Analytics para que anonimice las direcciones IP antes de su tratamiento, lo que reduce significativamente el riesgo de identificación.
• Desactivación de compartición de datos: Hemos desactivado todas las opciones de compartición de datos con Google para otros fines publicitarios.
• Cláusulas contractuales tipo (SCC): Google ha implementado las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea como garantía adecuada para transferencias internacionales.
• Consentimiento previo: Solo instalamos cookies de Google Analytics tras obtener el consentimiento expreso del usuario mediante el banner de cookies.

10.3. Garantías para transferencias internacionales

En caso de que en el futuro AUTOESCUELA EL REALEJO S.L. decidiera realizar transferencias internacionales de datos, estas se realizarían exclusivamente bajo alguna de las siguientes garantías establecidas en el Capítulo V del RGPD:

a) Decisión de adecuación de la Comisión Europea (art. 45 RGPD)

Solo se realizarían transferencias a países que la Comisión Europea haya declarado que ofrecen un nivel de protección adecuado, tales como:

• Andorra
• Argentina
• Canadá (solo para organizaciones sujetas a PIPEDA)
• Islas Feroe
• Guernsey, Isla de Man, Jersey
• Israel
• Japón
• Nueva Zelanda
• Corea del Sur
• Suiza
• Reino Unido (post-Brexit)
• Uruguay

b) Garantías adecuadas (art. 46 RGPD)

En ausencia de decisión de adecuación, se podrían realizar transferencias bajo las siguientes garantías:

• Cláusulas Contractuales Tipo (SCC): Cláusulas modelo aprobadas por la Comisión Europea que obligan al importador de datos a aplicar garantías de protección equivalentes al RGPD.
• Normas Corporativas Vinculantes (BCR): Para transferencias dentro de grupos empresariales multinacionales (no aplicable actualmente).
• Códigos de conducta aprobados: Acompañados de compromisos vinculantes del responsable o encargado en el tercer país.
• Mecanismos de certificación aprobados: Junto con compromisos vinculantes del responsable o encargado.

c) Excepciones para situaciones específicas (art. 49 RGPD)

Solo en situaciones excepcionales y sin carácter habitual, podrían realizarse transferencias basadas en:

• Consentimiento explícito: Tras informar al interesado de los riesgos de la transferencia.
• Ejecución de un contrato: Cuando la transferencia sea necesaria para ejecutar un contrato con el interesado.
• Intereses vitales: Para proteger la vida o integridad física del interesado.
• Interés público importante: Por razones de interés público esencial reconocidas por el Derecho de la UE o nacional.

10.4. Evaluación de riesgos y medidas complementarias

En caso de realizar transferencias internacionales, AUTOESCUELA EL REALEJO S.L. se compromete a:

• Realizar una evaluación del nivel de protección que ofrece el país de destino, analizando su legislación sobre acceso de autoridades públicas a datos.
• Implementar medidas de seguridad complementarias cuando sea necesario (cifrado extremo-a-extremo, pseudonimización, minimización de datos transferidos).
• Documentar adecuadamente las transferencias en el registro de actividades de tratamiento.
• Informar de forma clara y transparente a los interesados sobre las transferencias internacionales realizadas.
• Revisar periódicamente las garantías aplicadas y las decisiones de adecuación vigentes.

10.5. Compromiso de información previa

Si en algún momento futuro AUTOESCUELA EL REALEJO S.L. decidiera iniciar transferencias internacionales habituales de datos personales a países fuera del EEE, informará expresamente a los interesados mediante:

• Actualización de esta Política de Privacidad con información detallada
• Comunicación específica a usuarios registrados y alumnos activos
• Solicitud de consentimiento cuando sea la base jurídica aplicable

11. DERECHOS DE LOS INTERESADOS

Los interesados cuyos datos personales son tratados por AUTOESCUELA EL REALEJO S.L. tienen reconocidos y pueden ejercitar, en cualquier momento y de forma gratuita, una serie de derechos establecidos en el RGPD y la LOPDGDD. A continuación, explicamos detalladamente cada uno de estos derechos y cómo ejercitarlos:

11.1. Derecho de acceso (art. 15 RGPD)

El interesado tiene derecho a obtener confirmación de si AUTOESCUELA EL REALEJO S.L. está tratando sus datos personales y, en tal caso, tiene derecho a acceder a dichos datos y a la siguiente información:

• Fines del tratamiento
• Categorías de datos personales tratados
• Destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos
• Plazo previsto de conservación de los datos o criterios utilizados para determinarlo
• Existencia del derecho a solicitar la rectificación, supresión o limitación del tratamiento, y a oponerse al tratamiento
• Derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)
• Información sobre el origen de los datos (cuando no se hayan obtenido del propio interesado)
• Existencia de decisiones automatizadas, incluida la elaboración de perfiles
• Información sobre transferencias internacionales y garantías adecuadas aplicadas

El interesado tiene derecho a obtener una copia de sus datos personales en tratamiento. La primera copia será gratuita; por cualquier copia adicional solicitada, AUTOESCUELA EL REALEJO S.L. podrá repercutir un coste administrativo razonable.

11.2. Derecho de rectificación (art. 16 RGPD)

El interesado tiene derecho a obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tiene derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Ejemplos de rectificación:

• Corrección de un número de teléfono erróneo
• Actualización de la dirección postal tras una mudanza
• Corrección de errores tipográficos en el nombre o apellidos
• Actualización del correo electrónico
• Completar datos que faltaban en el momento de la recogida

11.3. Derecho de supresión ("derecho al olvido") (art. 17 RGPD)

El interesado tiene derecho a obtener sin dilación indebida la supresión de sus datos personales cuando concurra alguna de las siguientes circunstancias:

• Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados
• El interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico
• El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento
• Los datos personales hayan sido tratados ilícitamente
• Los datos personales deban suprimirse para el cumplimiento de una obligación legal
• Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a menores de 14 años

11.4. Derecho a la limitación del tratamiento (art. 18 RGPD)

El interesado tiene derecho a obtener la limitación del tratamiento de sus datos personales cuando se cumpla alguna de las siguientes condiciones:

• El interesado impugne la exactitud de los datos personales, durante un plazo que permita verificar la exactitud de los mismos
• El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso
• El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones
• El interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado

Cuando el tratamiento esté limitado, los datos personales solo podrán ser tratados para:

• Su conservación
• El ejercicio o la defensa de reclamaciones
• La protección de los derechos de otra persona física o jurídica
• Por razones de interés público importante de la Unión Europea o de un Estado miembro

11.5. Derecho a la portabilidad de los datos (art. 20 RGPD)

El interesado tiene derecho a recibir sus datos personales que haya facilitado al responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida AUTOESCUELA EL REALEJO S.L., cuando:

• El tratamiento esté basado en el consentimiento o en un contrato
• El tratamiento se efectúe por medios automatizados

Al ejercer este derecho, el interesado tiene derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Nota importante: El derecho de portabilidad no se aplica cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o para el cumplimiento de una misión realizada en interés público.

11.6. Derecho de oposición (art. 21 RGPD)

El interesado tiene derecho a oponerse en cualquier momento al tratamiento de sus datos personales cuando:

a) Oposición por motivos relacionados con su situación particular

Cuando el tratamiento se base en:

• Interés legítimo del responsable o de un tercero (art. 6.1.f RGPD)
• Misión realizada en interés público o ejercicio de poderes públicos (art. 6.1.e RGPD)

AUTOESCUELA EL REALEJO S.L. dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, ejercicio o defensa de reclamaciones.

b) Oposición al marketing directo

Cuando el tratamiento de datos personales tenga por objeto el marketing directo, el interesado tiene derecho a oponerse en todo momento, incluyendo la elaboración de perfiles relacionada con dicho marketing directo. En este caso, los datos personales dejarán de ser tratados para dichos fines de forma inmediata e incondicional.

11.7. Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD)

El interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Situación actual: AUTOESCUELA EL REALEJO S.L. NO toma decisiones automatizadas que produzcan efectos jurídicos o afecten significativamente a los interesados. Todas las decisiones relevantes (admisión de alumnos, evaluaciones, gestión de reclamaciones) se toman con intervención humana.

11.8. Derecho a retirar el consentimiento

Cuando el tratamiento se base en el consentimiento del interesado, este tiene derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

Ejemplos prácticos:

• Darse de baja de la newsletter mediante el enlace incluido en cada email
• Retirar el consentimiento para cookies no técnicas
• Revocar la autorización para conservar el currículum para futuros procesos
• Retirar el consentimiento para publicación de fotografías en redes sociales

11.9. Cómo ejercitar los derechos

Para ejercitar cualquiera de los derechos descritos, el interesado puede utilizar los siguientes medios:

11.10. Requisitos de la solicitud

La solicitud de ejercicio de derechos debe incluir obligatoriamente:

• Identificación del solicitante: Nombre y apellidos completos, DNI/NIE
• Datos de contacto: Dirección postal y/o email para enviar la respuesta
• Derecho que se ejercita: Especificar claramente qué derecho se desea ejercitar (acceso, rectificación, supresión, etc.)
• Petición concreta: Descripción detallada de lo que se solicita
• Documentación acreditativa: Copia del DNI/NIE o documento equivalente para verificar la identidad
• Fecha y firma: Del solicitante (cuando se envíe en formato físico)

11.11. Plazo de respuesta

AUTOESCUELA EL REALEJO S.L. responderá a las solicitudes de ejercicio de derechos en un plazo máximo de 1 mes desde la recepción de la solicitud. Este plazo podrá prorrogarse otros 2 meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. En tal caso, informaremos al interesado de dicha prórroga en el plazo de 1 mes desde la recepción de la solicitud, indicando los motivos de la dilación.

11.12. Gratuidad del ejercicio de derechos

El ejercicio de los derechos es completamente gratuito. Sin embargo, si las solicitudes son manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, AUTOESCUELA EL REALEJO S.L. podrá:

• Cobrar un canon razonable que tenga en cuenta los costes administrativos
• Negarse a actuar respecto de la solicitud

En tales casos, corresponde a AUTOESCUELA EL REALEJO S.L. demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

11.13. Derecho a presentar reclamación ante la autoridad de control

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento de sus datos personales infringe el RGPD o la LOPDGDD.

12. MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD

AUTOESCUELA EL REALEJO S.L. ha implementado y mantiene las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme a lo establecido en el artículo 32 del RGPD. Estas medidas están diseñadas para proteger los datos personales contra la destrucción, pérdida o alteración accidental o ilícita, la comunicación o el acceso no autorizados y cualquier otra forma de tratamiento ilícito.

12.1. Evaluación de riesgos

Previamente a la implementación de medidas de seguridad, AUTOESCUELA EL REALEJO S.L. ha realizado una evaluación de riesgos que tiene en cuenta:

• El estado de la técnica
• Los costes de aplicación
• La naturaleza, el alcance, el contexto y los fines del tratamiento
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
• Los riesgos específicos de cada tipo de tratamiento

12.2. Medidas de seguridad técnicas implementadas

A) Cifrado y protección de comunicaciones

• Protocolo HTTPS/SSL/TLS: Todas las comunicaciones entre el navegador del usuario y nuestro sitio web están cifradas mediante certificado SSL/TLS con cifrado mínimo de 256 bits.
• Cifrado de datos en tránsito: Utilización de protocolos seguros (SFTP, SSH) para transferencia de archivos entre sistemas.
• Cifrado de datos en reposo: Bases de datos con cifrado AES-256 para información especialmente sensible (datos bancarios tokenizados, firmas digitales).
• Cifrado extremo-a-extremo: Para comunicaciones críticas y transferencia de documentación con datos personales.

B) Control de acceso y autenticación

• Autenticación robusta: Contraseñas con requisitos de complejidad (mínimo 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales).
• Autenticación de dos factores (2FA): Para accesos administrativos críticos al sitio web y bases de datos.
• Políticas de contraseñas: Renovación periódica cada 90 días, prohibición de reutilización de las últimas 5 contraseñas.
• Control de acceso basado en roles (RBAC): Cada usuario solo tiene acceso a los datos necesarios para su función (principio de necesidad de conocer).
• Gestión de permisos: Revisión trimestral de permisos de acceso, eliminación inmediata de cuentas de usuarios que cesan su relación con la empresa.
• Registro de accesos: Logs detallados de todos los accesos a bases de datos y sistemas con datos personales (quién, cuándo, qué operación).

C) Seguridad perimetral y de red

• Firewall de aplicaciones web (WAF): Protección contra ataques comunes (SQL injection, XSS, CSRF, etc.).
• Firewall de red: Filtrado de tráfico entrante y saliente, bloqueo de puertos no utilizados.
• Sistema de detección de intrusiones (IDS/IPS): Monitorización en tiempo real de actividades sospechosas.
• Protección DDoS: Sistemas de mitigación de ataques de denegación de servicio distribuido.
• Segmentación de red: Separación de entornos de producción, desarrollo y administración.
• VPN: Acceso remoto a sistemas internos exclusivamente mediante conexión VPN cifrada.

D) Protección contra malware y amenazas

• Antivirus empresarial: Actualización automática diaria de definiciones, análisis en tiempo real de archivos.
• Antimalware y antispyware: Protección multicapa contra todo tipo de amenazas.
• Filtro anti-spam y anti-phishing: Protección del correo electrónico corporativo.
• Análisis de vulnerabilidades: Escaneo mensual automatizado de vulnerabilidades en sistemas.
• Gestión de parches: Actualización sistemática de software y sistemas operativos con los últimos parches de seguridad.

E) Copias de seguridad (backups)

• Backups automatizados: Copias de seguridad diarias de bases de datos y archivos críticos.
• Redundancia geográfica: Almacenamiento de backups en ubicaciones físicas diferentes (on-premise y cloud en UE).
• Cifrado de backups: Todas las copias de seguridad están cifradas con AES-256.
• Política 3-2-1: 3 copias de los datos, en 2 tipos de soportes diferentes, 1 copia fuera del sitio.
• Pruebas de recuperación: Simulacros trimestrales de restauración de backups para verificar su integridad.
• Retención temporal: Backups diarios (30 días), semanales (3 meses), mensuales (1 año).

F) Seguridad en dispositivos y estaciones de trabajo

• Cifrado de discos duros: BitLocker o similar en equipos que manejan datos personales.
• Bloqueo automático de sesión: Tras 10 minutos de inactividad.
• Política de escritorio limpio: Prohibición de dejar documentos con datos personales sobre mesas.
• Destrucción segura: Procedimiento de borrado seguro de discos duros antes de desechar equipos.

12.3. Medidas organizativas implementadas

A) Políticas y procedimientos documentados

• Política de Seguridad de la Información: Documento que establece las directrices generales de seguridad.
• Política de Privacidad interna: Procedimientos para el tratamiento de datos personales.
• Política de contraseñas: Requisitos y buenas prácticas para gestión de credenciales.
• Protocolo de respuesta ante incidentes: Pasos a seguir en caso de brecha de seguridad.
• Procedimiento de gestión de derechos: Flujo para atender solicitudes de acceso, rectificación, etc.
• Política de uso aceptable: Normas para el uso de sistemas informáticos y recursos tecnológicos.

B) Formación y concienciación del personal

• Formación inicial: Todos los empleados reciben formación en protección de datos al incorporarse.
• Formación continua: Cursos anuales de actualización en RGPD y ciberseguridad.
• Campañas de concienciación: Comunicaciones periódicas sobre amenazas actuales (phishing, ransomware).
• Test de phishing simulado: Envío periódico de emails simulados para evaluar el nivel de concienciación.
• Evaluación de conocimientos: Test posterior a cada formación para verificar la asimilación.

C) Control de acceso físico a instalaciones

• Videovigilancia: Cámaras de seguridad en accesos y zonas críticas (debidamente señalizadas).
• Control de acceso: Sistema de llaves/tarjetas para acceso a oficinas, especialmente fuera del horario laboral.
• Registro de visitas: Identificación y acompañamiento de personas ajenas a la empresa.
• Ubicación segura de servidores: Sala específica con acceso restringido y control ambiental.

D) Gestión de proveedores y encargados del tratamiento

• Due diligence: Evaluación de la seguridad y cumplimiento normativo de proveedores antes de contratarlos.
• Contratos de encargado del tratamiento: Cláusulas específicas de protección de datos en todos los contratos.
• Auditorías a proveedores: Revisión periódica del cumplimiento de las obligaciones contractuales.
• Gestión de subcontratistas: Autorización previa y por escrito de cualquier subcontratación.

E) Gestión de incidentes de seguridad

• Detección temprana: Sistemas de monitorización 24/7 para identificar incidentes.
• Equipo de respuesta: Personal designado y formado para gestionar brechas de seguridad.
• Registro de incidentes: Documentación detallada de todos los incidentes de seguridad.
• Análisis forense: Investigación de las causas y alcance de los incidentes.
• Notificación a la AEPD: En caso de brecha de seguridad que suponga un riesgo para los derechos y libertades, notificación en máximo 72 horas.
• Comunicación a interesados: Información a los afectados cuando la brecha suponga un alto riesgo.
• Medidas correctivas: Implementación de mejoras para evitar la repetición del incidente.

12.4. Medidas específicas por tipo de tratamiento

Seguridad de la firma digital

• Algoritmo de hash criptográfico SHA-256: Para garantizar la integridad de la firma capturada.
• Sellado de tiempo: Timestamp que acredita el momento exacto de la firma.
• Inmutabilidad: Una vez capturada e integrada en el PDF, la firma no puede ser modificada.
• Almacenamiento seguro: PDFs firmados almacenados en servidores cifrados con acceso restringido.

Seguridad en pasarela de pago CECABANK

• Certificación PCI-DSS: Máximo estándar de seguridad en la industria de pagos.
• Tokenización: Los datos completos de tarjetas nunca son almacenados en nuestros sistemas.
• 3D-Secure: Autenticación reforzada mediante SMS o app bancaria.
• Detección de fraude: Sistemas automatizados de análisis de riesgo en cada transacción.

12.5. Auditorías y revisiones

AUTOESCUELA EL REALEJO S.L. realiza periódicamente:

• Auditorías internas: Revisión anual del cumplimiento de políticas de seguridad y protección de datos.
• Auditorías técnicas: Test de penetración (pentesting) y análisis de vulnerabilidades por empresa externa.
• Revisión de logs: Análisis mensual de registros de acceso para detectar comportamientos anómalos.
• Actualización de medidas: Revisión continua de las medidas de seguridad para adaptarlas a nuevas amenazas.

12.6. Principio de mejora continua

La seguridad de los datos personales es un proceso dinámico y en constante evolución. AUTOESCUELA EL REALEJO S.L. se compromete a:

• Mantenerse actualizada sobre nuevas amenazas y vulnerabilidades
• Adaptar las medidas de seguridad al estado de la técnica
• Invertir en tecnologías y formación para mejorar la seguridad
• Aprender de incidentes propios y de la industria
• Colaborar con autoridades y expertos en ciberseguridad

13. TRATAMIENTO DE LA FIRMA DIGITAL

El sitio web de AUTOESCUELA EL REALEJO S.L. incorpora una funcionalidad de firma digital manuscrita que permite a los alumnos firmar digitalmente el contrato de prestación de servicios educativos durante el proceso de matrícula online. Esta sección explica en detalle cómo se trata la firma digital capturada:

13.1. Tecnología utilizada

La captura de la firma se realiza mediante tecnología HTML5 Canvas, que permite al usuario dibujar su firma manuscrita utilizando:

• Ratón: En ordenadores de escritorio y portátiles
• Dedo o stylus: En dispositivos táctiles (smartphones, tablets)
• Trackpad: En portátiles compatibles

El usuario visualiza en tiempo real el trazo de su firma en un recuadro designado, pudiendo borrarla y repetirla tantas veces como desee hasta que esté satisfecho con el resultado.

13.2. Proceso de captura y almacenamiento

1. Captura: El usuario dibuja su firma en el canvas HTML5 del navegador.
2. Conversión a imagen: La firma se convierte automáticamente a formato de imagen PNG con fondo transparente.
3. Codificación base64: La imagen se codifica en formato base64 para su transmisión segura.
4. Encriptación durante transmisión: La firma se envía al servidor a través de conexión HTTPS cifrada.
5. Integración en el contrato: La firma se inserta automáticamente en el documento PDF del contrato personalizado del alumno.
6. Hash criptográfico: Se genera un hash SHA-256 de la firma para garantizar su integridad y detectar cualquier modificación posterior.
7. Sellado de tiempo: Se registra el timestamp exacto del momento de la firma.
8. Almacenamiento seguro: El PDF con la firma integrada se almacena en servidores cifrados con acceso restringido.

13.3. Finalidad del tratamiento de la firma

La firma digital capturada se utiliza exclusivamente para los siguientes fines:

• Validación del contrato: Acreditar que el alumno ha leído, comprendido y aceptado los términos del contrato de prestación de servicios educativos.
• Valor probatorio: Servir como prueba en caso de discrepancia o reclamación sobre las condiciones contratadas.
• Cumplimiento normativo: Cumplir con las obligaciones de formalización de contratos establecidas en la legislación de consumidores y en la normativa del sector autoescuelas.
• Archivo documental: Conservar la documentación contractual completa durante los plazos legalmente establecidos.

13.4. Base jurídica del tratamiento

El tratamiento de la firma digital se basa en dos fundamentos jurídicos complementarios:

• Consentimiento expreso (art. 6.1.a RGPD): El alumno otorga su consentimiento explícito al marcar la casilla de aceptación y realizar el acto de firmar en el canvas digital.
• Ejecución del contrato (art. 6.1.b RGPD): La firma es necesaria para la formalización del contrato de prestación de servicios educativos que el alumno desea suscribir.

13.5. Validez legal de la firma digital

Conforme a la normativa española y europea sobre firma electrónica:

• Reglamento (UE) Nº 910/2014 (eIDAS) sobre identificación electrónica y servicios de confianza para las transacciones electrónicas
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza
• Ley 34/2002 (LSSI-CE) sobre Servicios de la Sociedad de la Información y Comercio Electrónico

La firma manuscrita digitalizada capturada mediante nuestro sistema constituye una firma electrónica simple que, si bien no tiene el mismo valor probatorio que una firma electrónica avanzada o cualificada, es plenamente válida cuando:

• Existe constancia de que fue realizada por el firmante
• Se puede acreditar su integridad (mediante hash criptográfico)
• Existe un contexto que permite identificar al firmante (datos facilitados en el formulario)
• El firmante no la impugna expresamente

13.6. Medidas de seguridad específicas

Para garantizar la seguridad, integridad y no repudio de la firma digital:

• Algoritmo SHA-256: Hash criptográfico que permite detectar cualquier modificación del archivo.
• Timestamp certificado: Registro del momento exacto de la firma que no puede ser alterado.
• Inmutabilidad del PDF: Una vez generado e integrada la firma, el documento no puede ser modificado sin dejar rastro.
• Cifrado en reposo: Almacenamiento del PDF en servidores con cifrado AES-256.
• Control de acceso: Solo personal autorizado puede acceder a los documentos firmados.
• Trazabilidad: Registro completo (log) de todos los accesos y operaciones sobre documentos firmados.
• Copias de seguridad: Backups cifrados diarios con retención según plazos legales.

13.7. Derechos del interesado sobre su firma

El alumno puede ejercitar todos los derechos establecidos en el RGPD sobre su firma digital:

• Derecho de acceso: Obtener una copia del contrato firmado digitalmente.
• Derecho de rectificación: Si detecta un error en el contrato, puede solicitar su rectificación (se generará un nuevo contrato que deberá firmar nuevamente).
• Derecho de supresión: Limitado por la necesidad de conservar el contrato para cumplir obligaciones legales y atender posibles responsabilidades (plazo: 6 años desde la finalización del servicio).
• Derecho de portabilidad: Puede solicitar el documento PDF con su firma en formato portable.

13.8. Conservación de la firma digital

La firma digital, al estar integrada en el contrato, se conserva durante el mismo plazo que el documento contractual:

• Durante la vigencia del contrato: Mientras se esté prestando el servicio educativo.
• Tras la finalización: 6 años adicionales para atender posibles responsabilidades (plazo de prescripción de acciones).
• Tras el plazo de conservación: Eliminación segura mediante borrado certificado que impida su recuperación.

13.9. Información y transparencia

Antes de realizar la firma digital, el alumno es informado claramente de:

• Que su firma será capturada y almacenada de forma segura
• Que la firma se integrará en el contrato de prestación de servicios
• Que la firma tendrá validez legal y valor probatorio
• El plazo de conservación de la firma
• Sus derechos sobre el tratamiento de su firma
• Cómo ejercitar dichos derechos

13.10. No compartición de firmas con terceros

AUTOESCUELA EL REALEJO S.L. se compromete expresamente a NO compartir, ceder, vender ni comunicar las firmas digitales capturadas a terceros, salvo:

• Obligación legal (requerimiento judicial)
• Encargados del tratamiento necesarios para la prestación del servicio (con contrato de confidencialidad)
• Consentimiento expreso del interesado

14. TRATAMIENTO DE DATOS EN LA PASARELA DE PAGO CECABANK

Para el procesamiento seguro de pagos online mediante tarjeta de crédito o débito, AUTOESCUELA EL REALEJO S.L. utiliza los servicios de CECABANK S.A., entidad financiera especializada en servicios de pago que actúa como encargado del tratamiento de los datos bancarios.

14.1. Responsabilidades en el tratamiento de datos de pago

AUTOESCUELA EL REALEJO S.L. (Responsable del tratamiento):

• Determina los fines y medios del tratamiento (gestión de pagos por matriculación)
• Garantiza que la pasarela de pago cumple con estándares de seguridad
• Verifica la certificación PCI-DSS del proveedor
• Suscribe contrato de encargado del tratamiento con CECABANK
• Informa a los usuarios sobre el tratamiento de sus datos bancarios
• Conserva únicamente información no sensible sobre transacciones (importes, fechas, resultado)

CECABANK S.A. (Encargado del tratamiento):

• Procesa de forma segura los datos completos de las tarjetas bancarias
• Gestiona la autorización de pagos con las entidades emisoras
• Implementa sistemas de prevención de fraude
• Aplica protocolos 3D-Secure para autenticación reforzada
• Tokeniza los datos sensibles de tarjetas
• Mantiene certificación PCI-DSS vigente
• Gestiona posibles devoluciones o reembolsos

14.2. Flujo de tratamiento de datos en el pago

1. El usuario completa el formulario de matrícula en nuestro sitio web (datos personales y de contacto).
2. Genera y descarga su contrato personalizado con firma digital.
3. Acepta los términos y condiciones y pulsa "Proceder al pago seguro".
4. Es redirigido automáticamente a la pasarela segura de CECABANK (dominio verificado con certificado SSL extendido).
5. Introduce sus datos bancarios (número de tarjeta, fecha de caducidad, CVV) directamente en el formulario de CECABANK (AUTOESCUELA EL REALEJO S.L. nunca tiene acceso a estos datos completos).
6. CECABANK solicita autorización al banco emisor de la tarjeta.
7. Si procede, se activa el protocolo 3D-Secure (autenticación mediante SMS, app bancaria o contraseña).
8. El banco emisor aprueba o rechaza la transacción.
9. CECABANK devuelve al usuario a nuestro sitio web con el resultado de la operación.
10. AUTOESCUELA EL REALEJO S.L. recibe una notificación tokenizada del resultado (sin datos completos de la tarjeta).
11. Se activa la matrícula del alumno y se envía confirmación por email.

14.3. Datos tratados en el proceso de pago

Datos tratados por CECABANK (no accesibles para nosotros):

• Número completo de la tarjeta de crédito/débito
• Fecha de caducidad
• Código CVV/CVC
• Nombre del titular de la tarjeta
• Datos de autenticación 3D-Secure

Datos que recibe AUTOESCUELA EL REALEJO S.L.:

• Token identificativo de la transacción
• 4 últimos dígitos de la tarjeta utilizada (para identificación)
• Fecha y hora de la transacción
• Importe cobrado
• Estado de la transacción (aprobada/rechazada)
• Código de autorización bancaria

14.4. Base jurídica del tratamiento

El tratamiento de datos bancarios se basa en:

• Ejecución del contrato (art. 6.1.b RGPD): El procesamiento del pago es necesario para ejecutar el contrato de prestación de servicios educativos que el alumno desea suscribir.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): Emisión de facturas, conservación de documentación contable, prevención de blanqueo de capitales.

14.5. Certificación PCI-DSS de CECABANK

CECABANK cuenta con la certificación PCI-DSS (Payment Card Industry Data Security Standard), el estándar de seguridad más exigente de la industria de pagos con tarjeta. Esta certificación garantiza que CECABANK cumple con:

• Mantener una red segura mediante firewalls y configuraciones protegidas
• Proteger los datos del titular de la tarjeta mediante cifrado
• Mantener un programa de gestión de vulnerabilidades
• Implementar medidas de control de acceso estrictas
• Monitorizar y testear regularmente redes y sistemas
• Mantener políticas de seguridad de la información documentadas

14.6. Protocolo 3D-Secure

Para aumentar la seguridad de las transacciones, CECABANK implementa el protocolo 3D-Secure (Verified by Visa, MasterCard SecureCode, etc.), que añade una capa adicional de autenticación conforme a la Directiva PSD2:

• Autenticación de dos factores: Algo que el usuario sabe (contraseña) + algo que el usuario tiene (teléfono móvil)
• SMS con código OTP: Código de un solo uso enviado al móvil del titular
• App bancaria: Autorización mediante la aplicación móvil del banco
• Biometría: Huella dactilar o reconocimiento facial en dispositivos compatibles

14.7. Tokenización de datos bancarios

CECABANK utiliza tokenización para proteger los datos sensibles de tarjetas:

• Los datos reales de la tarjeta son sustituidos por un token aleatorio
• El token no tiene valor fuera del sistema de CECABANK
• Si un atacante intercepta el token, no puede utilizarlo para realizar pagos
• Solo CECABANK puede "destokenizar" y acceder a los datos reales

14.8. Conservación de datos de pago

14.9. Derechos del interesado

Los usuarios pueden ejercitar sus derechos RGPD sobre los datos de pago:

• Frente a AUTOESCUELA EL REALEJO S.L.: Sobre los datos no sensibles (token, importe, fecha, estado) mediante info@gruporealejo.es
• Frente a CECABANK: Sobre los datos completos de tarjeta mediante los canales de atención al cliente de CECABANK

14.10. Prevención de fraude

CECABANK implementa sistemas avanzados de prevención de fraude:

• Análisis de riesgo en tiempo real: Evaluación automática de cada transacción
• Detección de patrones anómalos: Machine learning para identificar comportamientos sospechosos
• Geolocalización: Verificación de que la ubicación del pago coincide con el perfil del usuario
• Listas negras: Bloqueo de tarjetas reportadas como robadas o fraude
• Límites de velocidad: Restricción de múltiples intentos de pago en corto período

14.11. Reembolsos y devoluciones

En caso de que proceda un reembolso conforme a las condiciones contractuales:

• AUTOESCUELA EL REALEJO S.L. inicia el proceso de devolución
• CECABANK procesa la devolución a la misma tarjeta utilizada para el pago original
• El plazo de reembolso depende del banco emisor (generalmente 3-10 días laborables)
• El usuario es notificado por email del inicio del proceso de reembolso

14.12. Incidencias y reclamaciones sobre pagos

Para incidencias relacionadas con el proceso de pago:

• Primera instancia: Contactar con AUTOESCUELA EL REALEJO S.L. - info@gruporealejo.es / 957 23 22 31
• Incidencias técnicas de la pasarela: CECABANK - Atención al cliente
• Cargos no reconocidos: Contactar inmediatamente con el banco emisor de la tarjeta
• Reclamaciones no resueltas: Banco de España - Servicio de Reclamaciones

15. TRATAMIENTO DE DATOS DE MENORES DE EDAD

Conforme a la normativa española de tráfico y seguridad vial, determinados permisos de conducción pueden obtenerse antes de alcanzar la mayoría de edad legal (18 años). AUTOESCUELA EL REALEJO S.L. trata datos de menores de edad cuando estos se matriculan en permisos de conducción accesibles para su franja de edad.

15.1. Marco normativo aplicable

El tratamiento de datos de menores está regulado por:

• Artículo 8 del RGPD: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.
• Artículo 7 de la LOPDGDD: Consentimiento de los menores de edad (establece en 14 años la edad mínima para consentir el tratamiento de datos en España).
• Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
• Reglamento General de Conductores (RD 818/2009): Requisitos de edad para cada permiso de conducción.

15.2. Permisos de conducción accesibles para menores

Según la normativa de tráfico vigente, los siguientes permisos pueden obtenerse siendo menor de edad:

• Permiso AM (ciclomotores): A partir de 15 años
• Permiso A1 (motocicletas 125cc): A partir de 16 años
• Permiso B (turismos): A partir de 18 años (mayor de edad, no aplicaría esta sección)

15.3. Distinción por edades

A) Menores de 14 años

Situación: No aplica, ya que ningún permiso de conducción es accesible para menores de 14 años en España.

En el caso excepcional de que un menor de 14 años acceda al sitio web con fines informativos:

• No se recoge ningún dato personal salvo que sea estrictamente necesario y con autorización de los titulares de la patria potestad o tutela.
• No se instalan cookies no técnicas sin consentimiento de los padres/tutores.
• No se permite la matriculación online sin intervención de adultos.

B) Menores entre 14 y 18 años

Situación: Pueden obtener permisos AM (15 años) y A1 (16 años).

Según el artículo 7 de la LOPDGDD, los mayores de 14 años pueden prestar su consentimiento para el tratamiento de sus datos personales. No obstante, dado que:

• La matrícula implica la suscripción de un contrato (acto que requiere capacidad jurídica plena)
• Conlleva obligaciones económicas (pago de servicios)
• Los menores de edad tienen capacidad jurídica limitada según el Código Civil

AUTOESCUELA EL REALEJO S.L. REQUIERE en todos los casos:

15.4. Procedimiento de matriculación de menores

1. Inicio del proceso: El menor y su representante legal acceden al sitio web.
2. Información previa: Se informa claramente de que, al ser menor de edad, se requiere autorización del representante legal.
3. Cumplimentación del formulario: Se facilitan los datos del menor (alumno) y del representante legal (responsable del contrato).
4. Verificación de documentación:
   • DNI/NIE del menor
   • DNI/NIE del representante legal
   • Libro de familia, resolución de tutela o documento acreditativo de la representación
5. Firma del contrato: El representante legal firma digitalmente el contrato en nombre del menor.
6. Aceptación expresa: Mediante casilla específica, el representante legal acepta el tratamiento de datos del menor.
7. Pago: El representante legal procede al pago con sus propios medios de pago.
8. Confirmación: Se envía confirmación al email del representante legal.

15.5. Datos tratados de menores

Los datos personales tratados del menor incluyen:

• Datos identificativos (nombre, apellidos, DNI/NIE, fecha de nacimiento)
• Datos de contacto (teléfono, email - pueden ser del representante legal)
• Fotografía (para tramitación del permiso ante DGT)
• Datos académicos (asistencia a clases, resultados de exámenes)
• Certificado médico-psicotécnico (cuando sea necesario)

15.6. Finalidades del tratamiento

Los datos del menor se tratan exclusivamente para:

• Prestación del servicio de formación vial contratado
• Tramitación del permiso de conducción ante la DGT
• Comunicaciones esenciales relacionadas con el servicio (al representante legal)
• Gestión económica y administrativa
• Cumplimiento de obligaciones legales

NO se utilizan datos de menores para:

• Elaboración de perfiles con fines comerciales
• Envío de comunicaciones comerciales o publicitarias
• Cesión a terceros con fines comerciales
• Decisiones automatizadas que les afecten significativamente

15.7. Derechos de los menores y sus representantes

Los menores, asistidos por sus representantes legales, pueden ejercitar todos los derechos RGPD:

• Derecho de acceso: Conocer qué datos del menor estamos tratando
• Derecho de rectificación: Corregir datos inexactos o incompletos
• Derecho de supresión: Limitado por obligaciones de conservación legal
• Derecho de oposición: Oponerse a tratamientos basados en interés legítimo
• Derecho a la limitación: Solicitar la suspensión del tratamiento en determinadas circunstancias

Estos derechos pueden ejercitarse por:

• El propio menor (si es mayor de 14 años y tiene capacidad de discernimiento)
• Los representantes legales en cualquier caso

15.8. Medidas de protección reforzada

AUTOESCUELA EL REALEJO S.L. aplica medidas de protección reforzada para datos de menores:

• Minimización extrema: Solo recogemos datos estrictamente necesarios
• Seguridad reforzada: Nivel de protección superior en el almacenamiento
• Acceso restringido: Solo personal autorizado y formado puede acceder
• Revisiones periódicas: Evaluación trimestral de la necesidad de conservar los datos
• Comunicaciones al representante legal: Toda información relevante se comunica al adulto responsable
• Formación específica: Personal formado en protección de menores y sus particularidades

15.9. Interés superior del menor

Conforme al artículo 2 de la Ley Orgánica 1/1996, de Protección Jurídica del Menor, en todo tratamiento de datos de menores prevalece el interés superior del menor. Esto implica:

• Respeto a sus derechos fundamentales
• Satisfacción de sus necesidades básicas (formación, seguridad)
• Consideración de sus deseos, sentimientos y opiniones (según edad y madurez)
• Conveniencia de que su vida y desarrollo tenga lugar en un entorno familiar adecuado
• Preservación de su identidad, intimidad y datos personales

15.10. Conservación de datos de menores

Los datos de menores se conservan durante:

• Mientras sean menores y el servicio esté vigente: Tiempo necesario para la formación
• Una vez alcanzada la mayoría de edad: Se aplican los plazos generales de conservación
• Plazo post-servicio: Máximo 6 años para atender posibles responsabilidades legales
• Revisión al cumplir 18 años: Se informa al ahora adulto de sus derechos y opciones

16. COOKIES Y TECNOLOGÍAS DE RASTREO SIMILARES

El sitio web gruporealejo.es utiliza cookies y otras tecnologías de rastreo similares para mejorar la experiencia de navegación, analizar el uso del sitio web y ofrecer funcionalidades personalizadas. Esta sección proporciona información resumida sobre el uso de cookies; para información más detallada, consulte nuestra Política de Cookies completa.

16.1. ¿Qué son las cookies?

Las cookies son pequeños archivos de texto que se almacenan en el dispositivo del usuario (ordenador, tablet, smartphone) cuando visita un sitio web. Permiten al sitio web reconocer el dispositivo y recordar información sobre la visita, como preferencias de navegación, idioma, configuración, páginas visitadas, etc.

16.2. Tipos de cookies utilizadas

A) Según la entidad que las gestiona

• Cookies propias: Enviadas desde nuestros propios servidores.
• Cookies de terceros: Enviadas desde servidores de terceros (ej: Google Analytics).

B) Según su duración

• Cookies de sesión: Se eliminan automáticamente al cerrar el navegador. Duración: sesión actual.
• Cookies persistentes: Permanecen en el dispositivo durante un tiempo determinado. Duración: varía según el tipo (días, meses o años).

C) Según su finalidad

16.3. Cookies específicas utilizadas

16.4. Google Analytics y anonimización de IP

Utilizamos Google Analytics para analizar el uso de nuestro sitio web. Para minimizar el impacto en la privacidad:

• Anonimización de IP activada: Las direcciones IP se anonimizan antes de ser procesadas, eliminando el último octeto.
• Compartición de datos desactivada: No compartimos datos con Google para otros servicios (publicidad, benchmarking).
• Datos demográficos desactivados: No recopilamos información sobre edad, género o intereses.
• Señal de usuario desactivada: No utilizamos señales de Google para remarketing.
• Datos agregados: Solo analizamos datos agregados y estadísticos, nunca individuales.

Para más información sobre cómo Google trata los datos: Google Privacy Policy

16.5. Panel de consentimiento de cookies

Al acceder por primera vez a gruporealejo.es, se muestra un banner informativo sobre el uso de cookies que permite al usuario:

• Aceptar todas las cookies: Se instalarán cookies técnicas, analíticas y de personalización.
• Rechazar cookies no esenciales: Solo se instalarán cookies técnicas estrictamente necesarias.
• Configurar cookies: Seleccionar qué tipos de cookies acepta mediante un panel de configuración detallado.
• Más información: Acceder a la Política de Cookies completa para información exhaustiva.

16.6. Gestión de cookies desde el navegador

El usuario puede configurar su navegador para aceptar, rechazar o eliminar cookies. Instrucciones para los navegadores más utilizados:

• Google Chrome: Configurar cookies en Chrome
• Mozilla Firefox: Configurar cookies en Firefox
• Safari: Configurar cookies en Safari
• Microsoft Edge: Configurar cookies en Edge
• Opera: Configurar cookies en Opera

16.7. Otras tecnologías de rastreo

Además de cookies, el sitio web puede utilizar otras tecnologías similares:

• Local Storage y Session Storage: Almacenamiento local en el navegador para mejorar el rendimiento (ej: recordar el estado de formularios en caso de recarga accidental).
• Web Beacons (píxeles de seguimiento): Pequeñas imágenes transparentes incrustadas en emails o páginas web para rastrear su apertura o visualización (solo en emails de newsletter con consentimiento previo).
• Fingerprinting: AUTOESCUELA EL REALEJO S.L. NO utiliza técnicas de fingerprinting (huella digital del dispositivo) para rastrear usuarios.

16.8. Cookies de redes sociales

Si el sitio web incluye botones de compartir en redes sociales (Instagram, Facebook, WhatsApp), estas plataformas pueden instalar sus propias cookies cuando el usuario interactúa con dichos botones. AUTOESCUELA EL REALEJO S.L. no controla estas cookies, que se rigen por las políticas de privacidad de cada red social:

• Instagram: Política de cookies de Instagram
• Facebook: Política de cookies de Facebook
• WhatsApp: Política de privacidad de WhatsApp

16.9. Actualización de la información sobre cookies

AUTOESCUELA EL REALEJO S.L. puede modificar la configuración de cookies utilizada en función de:

• Cambios en la legislación aplicable
• Nuevas directrices de la AEPD
• Incorporación de nuevas funcionalidades en el sitio web
• Cambio de proveedores de servicios
• Mejora de la experiencia de usuario

En caso de cambios significativos, se informará mediante actualización del banner de cookies y de la Política de Cookies, solicitando nuevo consentimiento si fuera necesario.

16.10. Derecho a retirar el consentimiento

El usuario puede retirar su consentimiento para el uso de cookies no técnicas en cualquier momento mediante:

• Acceso al panel de configuración de cookies (enlace en el footer del sitio web)
• Eliminación de cookies desde la configuración del navegador
• Contacto con AUTOESCUELA EL REALEJO S.L. a través de info@gruporealejo.es

16.11. Más información

Para información más detallada y exhaustiva sobre el uso de cookies en nuestro sitio web, consulte nuestra Política de Cookies completa, donde encontrará:

• Listado completo de todas las cookies utilizadas
• Descripción detallada de cada cookie (nombre, finalidad, duración, titular)
• Información sobre cookies de terceros
• Instrucciones paso a paso para gestionar cookies en cada navegador
• Información sobre tecnologías alternativas
• Formulario para ejercitar derechos relacionados con cookies

17. MODIFICACIONES Y ACTUALIZACIONES DE LA POLÍTICA DE PRIVACIDAD

AUTOESCUELA EL REALEJO S.L. se reserva el derecho de modificar, actualizar o completar la presente Política de Privacidad en cualquier momento para adaptarla a cambios legislativos, jurisprudenciales, directrices de la AEPD, evolución de sus actividades, mejora de servicios o cualquier otra causa justificada.

17.1. Motivos para modificar la Política de Privacidad

Las modificaciones de esta Política de Privacidad pueden obedecer a diversos motivos:

• Cambios normativos: Nuevas leyes, reglamentos, directivas europeas o modificaciones del RGPD o LOPDGDD.
• Resoluciones de la AEPD: Directrices, recomendaciones, instrucciones o resoluciones sancionadoras que establezcan nuevos criterios.
• Sentencias judiciales: Jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), Tribunal Supremo o Audiencia Nacional que interpreten la normativa de protección de datos.
• Nuevos tratamientos: Incorporación de nuevas actividades de tratamiento de datos personales (nuevos servicios, funcionalidades, tecnologías).
• Cambio de encargados del tratamiento: Sustitución de proveedores de servicios que actúan como encargados del tratamiento.
• Mejoras de seguridad: Implementación de nuevas medidas técnicas y organizativas de seguridad.
• Feedback de usuarios: Sugerencias o reclamaciones de interesados sobre claridad, transparencia o completitud de la información.
• Auditorías internas: Resultados de auditorías de cumplimiento que identifiquen necesidades de mejora.
• Actualización de plazos: Modificación de plazos de conservación de datos.
• Cambios en destinatarios: Incorporación o cese de comunicaciones de datos a terceros.
• Corrección de errores: Subsanación de erratas, inconsistencias o información desactualizada.

17.2. Proceso de modificación

Cuando AUTOESCUELA EL REALEJO S.L. decida modificar esta Política de Privacidad, seguirá el siguiente proceso:

1. Análisis previo: Evaluación de la necesidad y alcance de la modificación.
2. Redacción de la nueva versión: Elaboración del texto actualizado de la Política de Privacidad.
3. Revisión legal: Verificación del cumplimiento de la normativa aplicable.
4. Aprobación interna: Autorización por parte de la dirección de la empresa.
5. Publicación en el sitio web: Sustitución de la versión anterior por la nueva versión.
6. Indicación de la fecha de actualización: Mención clara y visible de la "fecha de última actualización".
7. Archivo de versiones anteriores: Conservación de versiones previas durante al menos 5 años.

17.3. Comunicación de modificaciones

A) Modificaciones no sustanciales

Cuando las modificaciones sean de carácter menor (correcciones tipográficas, actualizaciones de datos de contacto, aclaraciones sobre información ya existente, etc.):

• Se publicarán directamente en el sitio web
• Se actualizará la "fecha de última modificación"
• No se realizará comunicación individualizada a los usuarios

B) Modificaciones sustanciales

Cuando las modificaciones afecten significativamente a los derechos de los interesados (nuevas finalidades de tratamiento, nuevos destinatarios, reducción de plazos de conservación, cambios en las bases jurídicas, etc.):

• Publicación destacada: Banner visible en la página principal del sitio web durante al menos 30 días.
• Notificación por email: Envío de comunicación a los usuarios registrados y alumnos activos explicando los cambios principales.
• Notificación en el proceso de matrícula: Información específica durante el registro para nuevos alumnos.
• Publicación en redes sociales: Anuncio en nuestros perfiles oficiales de Instagram y Facebook.
• Resumen de cambios: Documento explicativo con las modificaciones más relevantes en lenguaje claro y comprensible.

C) Modificaciones que requieren nuevo consentimiento

Si las modificaciones implican tratamientos basados en consentimiento que no estaban contemplados en la versión anterior:

• Se solicitará consentimiento expreso para el nuevo tratamiento mediante mecanismo opt-in activo
• Se explicará claramente en qué consiste el nuevo tratamiento y sus implicaciones
• El usuario podrá aceptar o rechazar el nuevo tratamiento sin que ello afecte a tratamientos ya consentidos
• Si el usuario no presta consentimiento, se mantendrán los tratamientos bajo las condiciones anteriores

17.4. Fecha de entrada en vigor

Las modificaciones de la Política de Privacidad entrarán en vigor:

• Modificaciones no sustanciales: Inmediatamente tras su publicación en el sitio web.
• Modificaciones sustanciales: 30 días naturales después de su publicación y comunicación, para dar tiempo a los usuarios a revisarlas y, en su caso, ejercitar sus derechos.
• Modificaciones por obligación legal: En la fecha que establezca la norma que las motive (puede ser inmediata si así lo exige la ley).

17.5. Aceptación de las modificaciones

La continuación del uso del sitio web, de los servicios ofrecidos o del mantenimiento de la relación contractual tras la entrada en vigor de las modificaciones implica la aceptación expresa de la nueva Política de Privacidad.

Si el usuario no está de acuerdo con las modificaciones introducidas, puede:

• Dejar de utilizar el sitio web: Cesar voluntariamente en el uso de nuestros servicios online.
• Solicitar la cancelación del servicio: Si tiene un servicio contratado, solicitar su cancelación conforme a las condiciones contractuales.
• Ejercitar el derecho de supresión: Solicitar la eliminación de sus datos personales (limitado por obligaciones legales de conservación).
• Presentar una reclamación: Ante la AEPD si considera que las modificaciones vulneran sus derechos.

17.6. Versionado y trazabilidad

AUTOESCUELA EL REALEJO S.L. mantiene un sistema de versionado de la Política de Privacidad:

• Número de versión: Cada versión tiene un identificador único (ej: v1.0, v1.1, v2.0)
• Fecha de publicación: Indicación clara de cuándo se publicó cada versión
• Fecha de última modificación: Visible en la parte superior del documento
• Registro de cambios (changelog): Documento interno que detalla cada modificación realizada
• Archivo histórico: Conservación de todas las versiones anteriores durante mínimo 5 años

17.7. Acceso a versiones anteriores

Los usuarios pueden solicitar acceso a versiones anteriores de la Política de Privacidad que estuvieran vigentes en el momento de iniciar su relación con AUTOESCUELA EL REALEJO S.L. mediante:

• Email: info@gruporealejo.es (asunto: "Solicitud versión anterior Política Privacidad")
• Indicando: Fecha aproximada o período de interés, motivo de la solicitud
• Plazo de respuesta: 15 días laborables desde la recepción de la solicitud

17.8. Revisión periódica

Independientemente de los motivos específicos de modificación, AUTOESCUELA EL REALEJO S.L. realiza una revisión periódica de la Política de Privacidad:

• Frecuencia: Al menos una vez al año
• Objetivos: Verificar vigencia, exactitud, claridad y cumplimiento normativo
• Participantes: Dirección, departamento legal, responsable de protección de datos (si procede)
• Resultado: Informe de revisión con recomendaciones de mejora

17.9. Compromiso de transparencia

AUTOESCUELA EL REALEJO S.L. se compromete a mantener esta Política de Privacidad:

• Actualizada: Reflejando en todo momento la realidad de los tratamientos realizados
• Clara y comprensible: Utilizando lenguaje sencillo y evitando tecnicismos innecesarios
• Completa: Incluyendo toda la información exigida por el RGPD
• Accesible: Fácilmente localizable en el sitio web y disponible en cualquier momento
• Veraz: Sin información engañosa, confusa o contradictoria

18. CONTACTO, RECLAMACIONES Y AUTORIDAD DE CONTROL

AUTOESCUELA EL REALEJO S.L. pone a disposición de los interesados múltiples canales para resolver cualquier duda, consulta, solicitud o reclamación relacionada con el tratamiento de datos personales y la protección de la privacidad.

18.1. Datos de contacto para cuestiones de privacidad

18.2. Tipos de solicitudes que puede realizar

A través de estos canales, los interesados pueden:

• Ejercitar sus derechos RGPD: Acceso, rectificación, supresión, limitación, portabilidad, oposición (ver sección 11)
• Formular consultas: Sobre cómo tratamos sus datos personales
• Solicitar aclaraciones: Sobre cualquier aspecto de esta Política de Privacidad
• Revocar consentimientos: Retirar autorizaciones previamente otorgadas
• Actualizar datos: Modificar información personal desactualizada
• Presentar reclamaciones: Sobre el tratamiento de sus datos personales
• Solicitar información: Sobre medidas de seguridad, destinatarios, plazos de conservación
• Reportar brechas de seguridad: Si detecta un posible incidente de seguridad

18.3. Requisitos de las solicitudes

Para que podamos tramitar eficazmente su solicitud, esta debe incluir:

• Identificación completa: Nombre, apellidos, DNI/NIE
• Datos de contacto: Email y/o dirección postal para la respuesta
• Descripción clara: Qué solicita, qué derecho ejerce o qué consulta realiza
• Documentación acreditativa: Copia del DNI/NIE o documento equivalente para verificar su identidad
• Firma: Del solicitante (en comunicaciones físicas)
• Fecha: De la solicitud

18.4. Plazo de respuesta

AUTOESCUELA EL REALEJO S.L. responderá a todas las solicitudes en los siguientes plazos:

• Ejercicio de derechos RGPD: Máximo 1 mes desde la recepción (prorrogable 2 meses adicionales en casos complejos, informando al interesado)
• Consultas generales: Máximo 10 días laborables
• Reclamaciones: Acuse de recibo en 3 días, respuesta completa en máximo 30 días naturales
• Brechas de seguridad reportadas: Acuse inmediato, investigación y respuesta en 72 horas

18.5. Gratuidad

El ejercicio de los derechos y la presentación de consultas o reclamaciones son completamente gratuitos.

Excepción: Si las solicitudes son manifiestamente infundadas o excesivas (especialmente por su carácter repetitivo), AUTOESCUELA EL REALEJO S.L. podrá:

• Cobrar un canon razonable basado en los costes administrativos, o
• Negarse a actuar respecto de la solicitud

En tales casos, corresponde a AUTOESCUELA EL REALEJO S.L. demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

18.6. Procedimiento de reclamación interna

Si un interesado considera que el tratamiento de sus datos personales vulnera la normativa o que sus derechos no han sido atendidos adecuadamente, puede presentar una reclamación formal siguiendo este procedimiento:

1. Presentación de la reclamación: Por escrito (email o postal) a los datos de contacto indicados, detallando:
   • Hechos reclamados con la mayor precisión posible
   • Derechos o intereses que considera vulnerados
   • Petición concreta que solicita
   • Documentación acreditativa que respalde su reclamación
2. Acuse de recibo: En máximo 3 días laborables desde la recepción
3. Investigación: Análisis interno de los hechos alegados, recopilación de información, consulta con las áreas involucradas
4. Respuesta motivada: En máximo 30 días naturales, indicando:
   • Si la reclamación es estimada (aceptada), parcialmente estimada o desestimada (rechazada)
   • Motivos de la decisión
   • Medidas correctoras adoptadas o que se adoptarán (si procede)
   • Derecho del interesado a presentar reclamación ante la AEPD

18.7. Derecho a presentar reclamación ante la AEPD

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento de sus datos personales infringe el RGPD o la LOPDGDD.

18.8. Procedimiento ante la AEPD

Para presentar una reclamación ante la AEPD:

1. Acceder a la sede electrónica: sedeagpd.gob.es
2. Seleccionar: "Protección de Datos" > "Reclamación"
3. Identificarse: Mediante certificado electrónico, DNI electrónico o Cl@ve
4. Cumplimentar el formulario: Indicando:
   • Datos del reclamante
   • Datos del responsable del tratamiento (AUTOESCUELA EL REALEJO S.L., CIF: B14382329)
   • Descripción detallada de los hechos
   • Derechos que considera vulnerados
5. Adjuntar documentación: Evidencias, comunicaciones previas con el responsable, etc.
6. Presentar: La reclamación queda registrada y se le asigna un número de expediente
7. Tramitación: La AEPD dará traslado de la reclamación a AUTOESCUELA EL REALEJO S.L. para que aporte información y alegaciones
8. Resolución: La AEPD dictará resolución estimando o desestimando la reclamación, pudiendo imponer medidas correctoras o sanciones si procede

18.9. Otras autoridades de control

Si usted reside habitualmente en otro Estado miembro de la Unión Europea, tiene derecho a presentar la reclamación ante la autoridad de control de ese Estado. Cada país de la UE tiene su propia autoridad de protección de datos.

Listado de autoridades europeas: https://edpb.europa.eu/about-edpb/about-edpb/members_es

18.10. Vía judicial

Sin perjuicio del derecho a presentar reclamación ante la autoridad de control, los interesados tienen derecho a interponer recurso judicial conforme al artículo 79 del RGPD:

• Contra una resolución de la AEPD: Recurso contencioso-administrativo ante la Audiencia Nacional
• Directamente contra el responsable del tratamiento: Demanda ante los Juzgados y Tribunales competentes por daños y perjuicios derivados de infracciones del RGPD

18.11. Mediación y resolución alternativa

AUTOESCUELA EL REALEJO S.L. fomenta la resolución amistosa y dialogada de cualquier conflicto relacionado con la protección de datos. Antes de acudir a la vía administrativa o judicial, recomendamos:

• Contactar directamente con nosotros para intentar resolver el problema
• Explicar claramente cuál es el problema y qué solución desea
• Darnos la oportunidad de investigar y responder adecuadamente
• Considerar opciones de mediación si no llegamos a un acuerdo

18.12. Compromiso de mejora continua

Todas las consultas, sugerencias y reclamaciones recibidas son analizadas cuidadosamente para:

• Identificar áreas de mejora en nuestros tratamientos de datos
• Detectar posibles brechas de seguridad o vulnerabilidades
• Mejorar la claridad y transparencia de nuestra información
• Reforzar la formación del personal
• Actualizar políticas, procedimientos y medidas técnicas
• Garantizar el cumplimiento efectivo del RGPD y los derechos de los interesados

18.13. Idioma de las comunicaciones

Las comunicaciones relacionadas con protección de datos se realizarán en español (castellano). Si el interesado prefiere comunicarse en otro idioma, debe indicarlo expresamente y AUTOESCUELA EL REALEJO S.L. valorará la posibilidad de facilitarlo, si bien no puede garantizarse en todos los casos.