1. Objeto y ámbito de aplicación

Esta Política de Protección de Datos establece las medidas, procedimientos y obligaciones adoptadas por Cesarini 2005 SL (en adelante, "la Entidad") respecto a la protección, seguridad y confidencialidad de los datos personales que trata en el marco de sus actividades vinculadas a la web push-go.com y al desarrollo de sus servicios.

2. Principios aplicables

• Licitud, lealtad y transparencia: los datos se tratarán con base legal adecuada y de forma transparente para los interesados.
• Minimización: se recogerán sólo los datos necesarios y pertinentes para cada finalidad.
• Limitación de la finalidad: los datos se utilizarán únicamente para las finalidades especificadas.
• Exactitud: se adoptarán medidas razonables para mantener los datos actualizados.
• Limitación del plazo de conservación: se conservarán durante el tiempo necesario conforme a la normativa y los fines.
• Integridad y confidencialidad: se garantizará la seguridad mediante medidas técnicas y organizativas.

3. Responsabilidades de la Entidad

La Entidad es responsable del tratamiento y debe:

• Garantizar el cumplimiento del RGPD y la LOPDGDD en todas sus actividades de tratamiento.
• Evaluar riesgos y mantener registros de actividades de tratamiento cuando proceda.
• Imponer cláusulas y controles a encargados y terceros que traten datos en nombre de la Entidad.
• Formar y sensibilizar al personal con acceso a datos personales.

4. Medidas técnicas y organizativas

La Entidad adopta las siguientes medidas, de carácter no exhaustivo, para proteger los datos personales:

• Control de accesos: políticas de acceso mínimo necesario, autenticación robusta y gestión de permisos.
• Cifrado: cifrado en tránsito (TLS) y, cuando proceda, cifrado en reposo de datos sensibles.
• Gestión de incidentes: procedimientos para detección, respuesta y notificación de brechas de seguridad según la normativa (incluida notificación a la AEPD cuando proceda).
• Copia de seguridad y recuperación: backups periódicos y pruebas de restauración.
• Seguridad física: controles de acceso físico a instalaciones y protección de soportes.
• Evaluaciones de impacto (DPIA): realización de DPIA para tratamientos con alto riesgo para los derechos y libertades.
• Contratos con encargados: cláusulas contractuales que garanticen medidas técnicas y organizativas adecuadas.

5. Gestión de personal y confidencialidad

Todo el personal y colaboradores con acceso a datos personales estarán sujetos a obligaciones contractuales de confidencialidad y recibirán formación periódica. Se aplicarán sanciones disciplinarias en caso de incumplimiento.

6. Conservación y supresión de datos

Los plazos de conservación se determinan en función de la finalidad y la normativa aplicable. Una vez cumplida la finalidad o cuando el interesado lo solicite (y no exista otra base legal para conservarlos), los datos se suprimirán o se anonimizarán de forma irreversible.

7. Encargados del tratamiento y terceros

La Entidad podrá contratar encargados del tratamiento (proveedores de hosting, servicios cloud, herramientas de marketing, etc.). Se exigirán garantías suficientes y contratos que implementen las medidas exigidas por la normativa y limiten subcontrataciones sin autorización.

8. Transferencias internacionales

No se prevén transferencias fuera del EEE. En caso de ser necesarias, se asegurarán las salvaguardas previstas por el RGPD: decisiones de adecuación o cláusulas contractuales tipo aprobadas por la Comisión Europea.

9. Gestión de brechas de seguridad

En caso de una violación de seguridad que suponga un riesgo para los derechos y libertades de las personas físicas, la Entidad:

• Activará el protocolo de respuesta a incidentes.
• Notificará la brecha a la AEPD en los plazos legalmente establecidos y, cuando proceda, comunicará a los afectados con la información pertinente.
• Documentará la incidencia y las medidas adoptadas para mitigar y prevenir nuevas ocurrencias.

10. Derechos de los interesados

Los interesados podrán ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, así como retirar el consentimiento cuando proceda. Para ello deberán dirigirse a:

Dirección postal: Avda. Carlotta Alexandri, 6 – 29620 Torremolinos (Málaga)
Correo electrónico: holidayhires@push-go.com

Se deberán aportar documentos que acrediten la identidad del solicitante o de su representante.

11. Evaluación y revisión

Esta política será revisada periódicamente (al menos una vez al año) o cuando cambios regulatorios, organizativos o tecnológicos lo requieran. Las revisiones quedarán registradas con fecha y versión.