El responsable del tratamiento de sus datos personales es

La Agencia Estatal de Investigación (AEI)

Torrelaguna, 58, PORTAL bis, 

CP 28027, MADRID – ESPAÑA

Contacto de nuestra persona responsable de protección de datos (DPD) dpd@aei.gob.es

¿De dónde proceden los datos personales tratados?

• De las personas usuarias de los sistemas de información de la AEI.
• De personal técnico o proveedoras encargadas del soporte, mantenimiento o desarrollo de servicios TIC.
• De los propios sistemas mediante registros automáticos de actividad (logs).
• De formularios o solicitudes de soporte técnico.
• De registros de incidencias, tickets o alertas generadas por herramientas de monitorización o ciberseguridad.

¿Cuál es la finalidad del tratamiento de mis datos personales?

Gestionar la infraestructura tecnológica de la AEI y garantizar el funcionamiento seguro de los sistemas de información, incluyendo:

• Administración y mantenimiento de redes, servidores, puestos de trabajo y aplicaciones.
• Gestión de usuarios/as, accesos, permisos y autenticación.
• Atención de incidencias y soporte técnico.
• Monitorización, auditoría y trazabilidad de accesos y eventos.
• Implementación de medidas de seguridad informática y protección frente a amenazas.
• Control del cumplimiento del Esquema Nacional de Seguridad (ENS).
• Mejora continua de los servicios digitales ofrecidos por la AEI.

¿Cuál es la base legal para el tratamiento de mis datos personales?

• Artículo 6.1.c) del RGPD: cumplimiento de obligaciones legales en materia de seguridad y administración electrónica.
• Artículo 6.1.e): ejercicio de funciones públicas.
• En determinados casos, artículo 6.1.b): ejecución de un contrato (por ejemplo, en relación con proveedoras TIC).

Normativa aplicable:

• Reglamento (UE) 2016/679 (RGPD).
• Ley Orgánica 3/2018 (LOPDGDD).
• Ley 40/2015, de régimen jurídico del sector público.
• Real Decreto 203/2021, sobre actuación y funcionamiento del sector público por medios electrónicos.
• Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.

¿Qué datos personales pueden ser tratados en esta actividad?

• Datos identificativos y de contacto del personal usuario.
• Datos de acceso (usuario, contraseñas cifradas, perfiles).
• Registros de actividad (logs, marcas temporales, dirección IP, dispositivos usados).
• Datos técnicos asociados al uso de servicios informáticos o a incidencias.
• Información necesaria para la resolución de incidencias o gestión de cambios.

¿Qué categorías o grupos de personas se ven afectadas en este tratamiento?

• Personal de la AEI que utiliza los sistemas de información.
• Proveedoras externas que prestan soporte o servicios TIC.
• Personas que acceden a servicios electrónicos de la AEI (por ejemplo, aplicaciones de solicitud, seguimiento, justificación, o portales web).
• Administradoras y administradores de sistemas o responsables de seguridad.

¿Quién tiene acceso a los datos personales y a quién se comunican?

• Personal técnico de la AEI encargado de la gestión TIC.
• Proveedores/as de servicios tecnológicos contratados para soporte o mantenimiento.
• Organismos de control, fiscalización o seguridad, cuando proceda.
• En su caso, otros organismos públicos en el marco de convenios o plataformas compartidas.

¿Se realizan transferencias internacionales de datos personales?

No se prevén transferencias internacionales de datos personales en el marco de esta actividad de tratamiento.

En caso excepcional de que alguna solicitud implique el tratamiento de datos que deban ser comunicados a entidades situadas fuera del Espacio Económico Europeo (EEE), la AEI adoptará las garantías adecuadas previstas en los artículos 44 a 49 del Reglamento General de Protección de Datos, informando previamente a la persona solicitante o afectada, y documentando la base jurídica correspondiente.

¿Se adoptan decisiones automatizadas o se elaboran perfiles con los datos personales?

No se adoptan decisiones automatizadas ni se elaboran perfiles con base en los datos personales tratados en esta actividad, conforme a lo previsto en el artículo 22 del Reglamento General de Protección de Datos.

¿Durante cuánto tiempo se conservan los datos personales?

Durante el tiempo necesario para garantizar la trazabilidad, seguridad, mantenimiento y mejora de los sistemas, de acuerdo con los plazos definidos en la normativa sobre archivos, seguridad y control interno.

Los logs de actividad se conservarán conforme al Esquema Nacional de Seguridad y se eliminarán o anonimizarán una vez cumplida su finalidad.

¿Qué derechos tengo en relación con mis datos personales?

Como persona interesada, tienes derecho a:

• Acceder a tus datos personales.
• Solicitar la rectificación de los datos inexactos o incompletos.
• Solicitar su supresión cuando ya no sean necesarios o concurran los supuestos previstos en la normativa.
• Solicitar la limitación del tratamiento en determinadas circunstancias.
• Oponerte al tratamiento de tus datos personales por motivos relacionados con tu situación particular.
• Presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideras que se ha producido una infracción de la normativa de protección de datos.

Estos derechos pueden ejercerse mediante solicitud dirigida a la Agencia Estatal de Investigación

(dpd@aei.gob.es), conforme a lo establecido en la Ley 39/2015, de procedimiento administrativo común.

En caso de que el tratamiento se base en el consentimiento, tendrás derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

¿Qué medidas se adoptan para proteger mis datos personales?

La Agencia Estatal de Investigación (AEI) aplica en todas sus actividades de tratamiento las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del Reglamento General de Protección de Datos (RGPD) y al Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo.

Estas medidas incluyen políticas de gestión de la seguridad de la información, control de accesos, protección contra software malicioso, cifrado, copia de seguridad, registro de actividades, gestión de incidentes, formación del personal, y otras medidas técnicas y organizativas adaptadas al nivel de riesgo identificado.

Dichas medidas se revisan y actualizan periódicamente y se aplican de forma transversal a todas las actividades de tratamiento gestionadas por la AEI.