1. Datos relativos al Responsable del tratamiento, Encargado del tratamiento y Delegado de Protección de Datos:

El responsable del tratamiento es la Consellería de Hacienda y Administración Pública de la Xunta de Galicia.

El encargado del tratamiento es la Agencia para la Modernización Tecnológica de Galicia (Amtega), para el desarrollo, mantenimiento, alojamiento y gestión del sistema de la aplicación a través de la que se dará acceso a las personas usuarias.

Puede contactar con el/la Delegado/a de Protección de Datos: https://www.xunta.gal/delegados-de-proteccion-de-datos 

2. Categorías de datos objeto de tratamiento

Los datos personales que se tratarán en caso de que la persona usuaria decida registrarse en la aplicación serán los siguientes:

• Nombre y apellidos
• DNI/DNIe/NIE.
• Número de teléfono móvil
• Dirección postal y/o correo electrónico o, en su caso, fax.
• Datos relativos a tarjetas y certificados gestionados por la Xunta de Galicia (número y fecha de caducidad de: carnés profesionales, carné joven y certificado de familia numerosa, Chave365). Para poder descargar y visualizar los certificados, en el caso de dispositivos Android, la aplicación requerirá el acceso al almacenamiento del dispositivo (archivos, imágenes, vídeos y audios).
• Datos relativos a los medios de notificación indicados en la plataforma Notifica.gal 

3. Origen de los datos

• Datos facilitados por la persona usuaria de la aplicación.
• Datos que la Administración autonómica ya poseé. Para facilitar las distintas funcionalidades de la aplicación, los datos personales se obtendrán de otros servicios o aplicaciones de la Administración autonómica en los que el usuario los hubiese facilitado. En concreto, se extraerán datos personales de Chave365, del DNI electrónico, Sede Electrónica y el sistema Notifica.gal.
• Datos facilitados por las partes intervinientes en el caso de otorgamiento de poderes.
• Así mismo, se podría acceder directamente a datos del almacenamiento del propio dispositivo móvil, para la visualización y descarga de certificados.

4. Finalidades del tratamiento de datos

Los datos serán utilizados para ofrecer a las personas usuarias los siguientes servicios:

Avisos personalizados:

• Aviso de caducidad de usuario de Chave365
• Aviso de cambio de contraseña de Chave365
• Aviso de notificaciones electrónicas enviadas desde Notifica.gal
• Aviso de recepción de un nuevo apoderamiento.

Estos se recibirán como notificaciones Push en el dispositivo.

• Autenticación mediante DNIe a través de NFC
• Autenticación con usuario de Chave365 con doble factor 
• Autenticación mediante certificado dixital
• Opción para la recuperación de clave de acceso de Chave365 olvidada. La persona usuaria deberá indicar su NIF y teléfono móvil, y, en el caso de coincidir con un usuario de Chave365, se le envía un SMS con un código que deberá indicar junto con la nueva clave de acceso que desee la persona usuaria.
• Consulta y descarga de documentación presentada: en esta sección a ciudadanía podrá consultar las entradas en el Registro presenciales y telemáticas en las que conste como interesado/a o representante. También se podrá descargar la documentación asociada a las mismas.
• Consulta y descarga de tarjetas acreditativas y certificados personales gestionados por la Xunta de Galicia. La aplicación permitirá al usuario, debidamente autenticado, consultar una lista con las tarjetas y certificados de la Xunta de Galicia y proceder a su descarga:
• Tarrjeta
  • Carné Xove
  • Tarjeta acreditativa del grado de discapacidad
  • Título individual de familia numerosa
  • Título de familia numerosa
  • Certificado de familia monoparental
  • Certificado individual de familia monoparental
  • Carné de la Red de Bibliotecas de Galicia
  • Tarjeta para licencias de pesca de recreo en superficie
  • Tarjeta para licencias de pesca de recreo submarina
  • Tarjeta para licencias de pesca marítima de recreo en embarcaciones
  • Licencia recreativa de pesca continental
  • Licencia de caza
  • Licencia de embarcaciones
  • Permiso de pesca fluvial
  • Carné profesional en instalaciones térmicas de edificios
  • Carné profesional de operador/a de grúa torre
  • Carné profesional de operador/a de grúa móvil autopropulsado - categoría A
  • Carné profesional de operador/a de grúa móvil autopropulsado - categoría B
• Certificados
  • Certificado de habilitaciones profesionales.
  • Licencia de pesca marítima de recreo en superficie.
  • Licencia de pesca marítima de recreo submarina.
  • Licencia de pesca marítima de recreo en embarcaciones.
• Gestiones relacionadas con Chave365:
  • Consultar los datos que la persona usuaria tiene asociados a Chave365
  • Cambiar la clave de acceso
  • Modificar el número de móvil asociado
  • Darse de baja
  • Renovar el usuario
• Consulta y modificación de los canales de contacto indicadas en Notifica.gal. 
• Escoger la opción de compartir borradores en la sede electrónica.
• Consulta de citas solicitadas con la Administración.
• Consulta de expedientes y presentaciones, al igual que a través de la sede electrónica, y descarga de la documentación correspondiente.
• Aportación de documentación a determinados expedientes, al igual que a través de la sede electrónica. También será posible descargar, editar y/o eliminar la documentación que se adjunte. Para esta finalidad la persona usuaria puede optar por subir un archivo desde su dispositivo o sacar una fotografía de la documentación que desea adjuntar. Si opta por sacar una fotografía del archivo, XuntaEu le solicitará permiso para el uso de la cámara de su dispositivo móvil. Esta solicitud se firmará con una firma no criptográfica mediante un sello de firma. A continuación se generará un documento de solicitud y un justificante del envío, así como una entrada en el registro electrónico.
• Verificación de documentos firmados mediante CVE. Para esta finalidad, se solicitará a la persona usuaria permiso para el uso de la cámara de su dispositivo móvil para que se pueda leer el código QR.
• Consulta de apoderamientos. Se pondrán consultar apoderamientos otorgados y recibidos y descargar su documentación asociada igual que en la Sede. No se podrán conceder poderes desde la aplicación.
• Notificación por comparecencia de notificaciones puestas a disposición de la persona usuaria por el Sistema de Notificaciones de Galicia Notifica.gal. Una vez aceptada o rechazada la notificación, la persona usuaria podrá consultar y descargar la documentación relacionada.
• Gestión de consultas e incidencias técnicas relacionadas con la aplicación. La plataforma pone a disposición de las personas usuarias un canal a través del que pueden contactar con el servicio de soporte. Uno de los medios de contacto habilitados es el servicio de mensajería de WhatsApp. Al aceptar y elegir esta opción, la aplicación comprobará si la persona usuaria tiene WhatsApp instalado en su dispositivo y abrirá una conversación con el servicio de soporte. En este proceso, trataremos los datos personales facilitados (número de teléfono, nombre de usuario y mensajes intercambiados) con la finalidad de gestionar y dar respuesta a las consultas o incidencias formuladas. Con todo, le informamos de que el uso de WhatsApp supone una transferencia internacional de datos personales a Meta Platforms, Inc. Menlo Park, California, Estados Unidos. Para más información sobre el tratamiento de datos por parte de WhatsApp, puede consultar su política de privacidad en el siguiente enlace. 
• Gestión de las quejas o sugerencias presentadas, al igual que a través de la sede electrónica. Este procedimiento se utiliza para presentar quejas relativas a cualquier aspecto de insatisfacción sobre el funcionamiento de los servicios prestados por el sector público autonómico (excepto para los ámbitos relativos la educación, sanidad y justicia, que se rigen por su normativa específica). En caso de que la persona usuaria opte por subir un archivo, esta app le solicitará permiso para el acceso a los archivos de su dispositivo. Por otro lado, en caso de que opte por sacar una fotografía del archivo, XuntaEu solicitará permiso para el uso de la cámara de su dispositivo móvil. La solicitud se firmará con una firma no criptográfica mediante un sello de firma, se generará un documento de solicitud, un justificante del envío y una entrada en el registro electrónico. 

Accesos a otros servicios 

A través de la aplicación XuntaEu se podrá acceder a determinados servicios fuera de la propia aplicación:

• Pago de tasas: el acceso directo al pago de tasas proporciona acceso al portal web de la Agencia Tributaria de Galicia, por lo que el tratamiento de datos personales se realizará directamente por parte del citado organismo, sin que en la aplicación XuntaEu se realice el tratamiento relacionado con el pago de tasas.

5. Legitimación para el tratamiento de datos personales

El tratamiento de datos personales derivado de la operativa de la Aplicación se basará en la necesidad de dar cumplimiento a una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable en base a la Ley 39/2015, del 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; la Ley 40/2015, del 1 de octubre, del Régimen Jurídico del Sector Público y la Ley 4/2019, del 17 de julio, de administración digital de Galicia.

Con todo, el uso de la aplicación y la configuración de sus diferentes funcionalidades se basará en la voluntariedad, de forma que la persona usuaria podrá activar y desactivar de forma específica cada una de ellas de forma independiente en todo momento, así como decidir desinstalar la aplicación.

Todo eso, sin que se derive consecuencia negativa alguna para quien decida no descargar o no usar la aplicación o alguna de sus funcionalidades.

6. Plazo de conservación de los datos

Los datos personales serán conservados durante el tiempo necesario para cumplir con las finalidades del tratamiento y, en todo caso, durante los plazos previstos por la normativa vigente, en función del procedimiento de que se trate. Así mismo, será de aplicación la normativa sobre conservación de documentación de titularidad pública, en particular la Ley 7/2014, del 26 de septiembre, de Archivos y Documentos de Galicia.

7. Categorías de destinatarios de los datos personales

El responsable del tratamiento, para las finalidades descritas en el apartado 4, permitirá el acceso a los datos personales a la Agencia Gallega de Modernización Tecnológica (Amtega) en calidad de encargado del tratamiento. En todo caso, se adoptarán las medidas necesarias para garantizar la confidencialidad y seguridad dos datos y la protección de los derechos de los interesados y se dará cumplimiento a lo establecido en la normativa vigente con respecto al tratamiento de datos por cuenta de terceros.

8. Derechos de las personas interesadas respeto de sus datos personales y como solicitarlos

El responsable del tratamiento garantizará y facilitará en todo momento a los usuarios el ejercicio de sus derechos en materia de protección de datos personales. Estos derechos son:

• Derecho de acceso: derecho a obtener confirmación sobre si se están tratando los datos y la información, en su caso, sobre  dicho tratamiento.
• Derecho de rectificación: derecho a solicitar la rectificación de los datos cuando sean inexactos.
• Derecho de supresión u olvido: derecho a obtener la supresión de los datos en los términos previstos en la normativa vigente.
• Derecho de oposición: derecho a oponerse, en cualquier momento, a que los datos personales sean objeto de tratamiento.
• Derecho a la limitación del tratamiento: derecho a que el responsable limite el tratamiento de los datos de la persona interesada en los supuestos recogidos en la normativa vigente.
• Derecho a la portabilidad de los datos: derecho a recibir los datos que proporcionó en un formato estructurado, de uso común y lectura mecánica, o a que sean transmitidos directamente a un tercero en los supuestos establecidos en la normativa vigente.

Las personas interesadas podrán solicitar el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales tratados u otros derechos que le asistan. Todo eso a través de la sede electrónica de la Xunta de Galicia, a través del procedimiento denominado PR004A o en los lugares y registros establecidos en la normativa reguladora del procedimiento administrativo común, según se recoge en https://www.xunta.gal/ejercicio-de-derechos

A las personas interesadas les asiste en todo momento el derecho para presentar una reclamación ante la Agencia Española de Protección de Datos – AEPD. Con carácter previo a presentar una reclamación ante la Agencia Española de Protección de Datos, la persona usuaria de la Aplicación podrá dirigirse al Delegado de Protección de Datos (DPD) correspondiente.

9. Otras garantías en el tratamiento de los datos

Tanto en el desarrollo como en la implementación y funcionamiento de la aplicación, y posteriormente en su desactivación, se establecerán las garantías necesarias para los usuarios en lo que respecta al tratamiento de sus datos personales, según las disposiciones de la legislación vigente sobre protección de datos y confidencialidad de las comunicaciones electrónicas.

Estas garantías respectarán los principios establecidos en dicha normativa. En particular, la recogida de datos personales se regirá por los principios generales de eficacia, necesidad y proporcionalidad, respectando en todo caso el principio de minimización de datos.

Se tomarán las medidas necesarias para garantizar que cualquier persona que actúe bajo la autoridad del responsable del tratamiento y que tenga acceso a los datos personales solo pueda tratar dichos datos de acuerdo con las instrucciones del responsable del tratamiento, a menos que así lo exija la legislación de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad necesarios, en los que se hará mención expresa al deber de secreto profesional de acuerdo con las exigencias del Reglamento General de Protección de Datos. De acuerdo con el principio de limitación de la finalidad, los datos personales se tratarán únicamente para las finalidades indicadas, y no se utilizarán posteriormente de forma incompatible con dichas finalidades.

Los posibles tratamientos que puedan ser necesarios con fines de archivo de interés público, investigación científica o histórica o estadística, estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable en cada caso.

Se aplicarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. De acuerdo con la Disposición adicional primera de la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personalees y garantía de los derechos digitales las medidas de seguridad técnicas y organizativas serán las establecidas en el Anexo II del 311/2022, del 3 de mayo, por lo que se regula el Esquema Nacional de Seguridad.

10. Normativa básica aplicable

• Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en el que respeta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RXPD).
• Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 39/2015, de 1 de octubre , del procedimiento administrativo común de las administraciones públicas (LPACAP).
• Ley 40/2015, de 1 de octubre , de régimen jurídico del sector público (LRJSP).
• Ley 4/2019, de 17 de julio , de administración digital de Galicia.
• Ley 1/2015, de 1 de abril, de garantía de la calidad de los servicios públicos y de la buena administración.
• Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade (ENS).
• Real Decreto 203/2021, do 30 de marzo, polo que se aproba o Regulamento de actuación e funcionamento do sector público por medios electrónicos.
• Decreto 129/2016, de 15 de septiembre, por el que se regula la atención a la ciudadanía en el sector público autonómico de Galicia.