POLITÍCA DE PRIVACIDAD DE DATOS PERSONALES
1. Principios básicos sobre el tratamiento de datos personales
nota: artículo 5 del RGPD, “el responsable del tratamiento será responsable del cumplimiento de los principios y será capaz de demostrarlo”
1.1. Los datos personales serán tratados de forma leal, lícita y transparente en relación con el interesado.
1.2. los datos personales deben de ser recogidos con fines determinados, explícitos y legítimos, no serán tratados a posteriori con otros fines.
1.3. Minimización de datos: los datos personales deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para lo que se solicitan. En la medida de la capacidad de la empresa y el nivel de los datos personales utilizados, se aplicarán las técnicas de “Anonimización” y “Seudonimización”, para un mejor control y reducción del riesgo.
1.4. Los DP que utiliza la organización serán exactos, estableciéndose las medidas adecuadas para su verificación y mantenimiento en caso de ser necesario modificarlos.
1.5. Plazo de conservación de los datos limitado a la finalidad por la que fueron recabados, y al cumplimiento de las leyes que puedan solicitarlos.
1.6. Para mantener la integridad y confidencialidad de los DP, la compañía teniendo en cuenta el coste de implementación y la gravedad de los riesgos detectados en la ENTIDAD, utilizará la tecnología y los sistemas disponibles para garantizar una seguridad apropiada para los DP y se asegurara que no haya un tratamiento ilícito, no autorizado, la pérdida, destrucción o daño de los DP.
1.7. La ENTIDAD, verificará que los responsables de tratamiento sean proactivos en estos principios y que tengan la capacidad para demostrarlo.
2. Principios de aplicación de DP en la actividad de la empresa. Directrices para un tratamiento adecuado de DP.
Para poder demostrar el cumplimiento con los requisitos y principios de la protección de datos (RGPD), la organización establece la protección de datos formando parte de su actividad.
El tratamiento de datos personales en la actividad empresarial debe ser autorizado de forma expresa por parte del responsable (delegado de protección de datos) a cargo de la protección de datos.
2.1. Aviso a los interesados.
En el momento de la recogida o antes de la recogida de DP, para cualquiera de las actividades que realiza la empresa que requiera tratamiento de DP, se ha de informar adecuadamente a los interesados sobre los tipos de datos personales recogidos, el fin del tratamiento, el método de tratamiento de dichos datos, los derechos de los interesados respecto a sus datos personales, el periodo de retención, las posibles transferencias de datos internacionales (si las hubiera), y si los datos serán compartidos con terceros así como las medidas de seguridad que la empresa aplica para proteger dichos datos. Esta información se proporciona al interesado mediante un aviso de privacidad. (Nota 1 para distintos datos de tratamiento diferentes avisos de privacidad). (Nota 2: para datos personales confidenciales asegurarse que el aviso indica de forma explícita el propósito por el que se recogen dichos datos sensibles)
2.2. Elección y consentimiento del interesado:
El responsable a cargo de la protección de datos debe conservar registro de los consentimientos y proporcionar de forma fácil a los interesados las opciones para proporcionar dicho consentimiento, así como informar y garantizar de la revocación del mismo en cualquier momento. (Nota, para menores de 16 años se debe de recoger el consentimiento paterno antes de la recogida de los datos).
El responsable a cargo de la protección de datos de la empresa debe asegurarse que las solicitudes para corregir, modificar o destruir registros se tramitan en un marco de tiempo razonable, registrando y asegurando que dichas solicitudes se mantengan de forma adecuada.
Los datos personales recogidos sólo se deben de tratar para el propósito para el que se recogieron inicialmente, para cualquier otro tipo de tratamiento o uso se debe de volver a solicitar el consentimiento por parte del interesado de forma clara y concisa. Cualquier solicitud en este sentido debe de recoger la finalidad inicial y las nuevas finalidades, así como el motivo de cambio.
Todos estos requisitos, de recogida pertinentes, las buenas prácticas y los estándares de protección de datos personales en la industria, son responsabilidad del encargado de datos de la empresa.
2.3. Recogida de datos:
La empresa se esforzará por recoger la menor cantidad posible de datos personales. Si los DP se recogieran de un tercero, el encargado de protección de datos de la empresa debe asegurarse que son recogidos legalmente.
2.4. Uso, retención y eliminación.
La finalidad, los métodos, la limitación de almacenamiento y el periodo de retención de datos personales debe ser coherente con la información contenida en el aviso de privacidad. La compañía mantendrá la decisión, integridad, confidencialidad y pertinencia de DP, en función de la finalidad tratamiento.
La empresa utilizará los mecanismos de seguridad adecuados para proteger los DP de robo, uso indebido o abuso, y evitar violaciones de seguridad de los mismos.
2.5. Comunicación a terceros.
Cuando la empresa utilice proveedor o socio para tratar los DP en su nombre, debe asegurarse que dichos encargados proporcionarán las medidas de seguridad y confidencialidad adecuadas para el tratamiento encargado (solicitado o contratado). La empresa exigirá de forma contractual (mediante contrato) que se proporcionen dichos niveles de protección adecuados al nivel de los datos, que el proveedor cumplirá con sus obligaciones siguiendo las directrices de la empresa, y se compromete a no utilizarlos para otros fines. Se debe de especificar de manera explícita las responsabilidades de la empresa y las responsabilidades del tercero (encargado de tratamiento).
2.6. Transferencias internacionales de datos personales (afuera de la UE).
En caso de que la empresa necesite transferir DP fuera del ámbito del área económica europea (AEE), deben de emplearse y solicitarse las garantías adecuadas, incluyendo la firma del acuerdo de transferencia de datos, así como si es necesario obtener la autorización pertinente por parte de la autoridad competente en protección de datos. La empresa se asegurará que la entidad que recibe los datos de carácter personal cumple con los principios de tratamiento establecidos por la UE.
2.7. Derecho de acceso de los interesados.
Se proporcionará a los interesados un mecanismo de acceso de a sus datos que sea razonable, así como actualizarlos, rectificarlos, borrarlos o transmitirlos cuando corresponda o sea requerido por la ley. Dicho procedimiento o mecanismo se detallará en el documento de solicitud de acceso al interesado.
2.8. Portabilidad de datos.
Los sujetos de los datos (propietarios) tienen derecho a recibir, previa solicitud, una copia de los datos que proporciona a la empresa en un formato estructurado de forma que dichos datos se puedan transmitir al responsable de forma gratuita. El responsable de la gestión de datos de carácter personal de la empresa garantizará que dichas solicitudes se procesen en menos de un mes y que no afecten a los derechos de los datos personales de las personas.
2.9. Derecho al olvido.
Previa solicitud, los interesados tienen derecho al borrado total de sus datos personales que en su momento se dieron a la empresa. La empresa establecerá las medidas necesarias de informar a terceros que usen o procesen dichos datos para cumplir dicha solicitud.
3. Respuesta violaciones de seguridad de datos
Cuando la empresa detecta una violación de seguridad de datos personales aun no existiendo confirmación real de la misma, el responsable de datos del delito en investigación interna podrá tomar las medidas adecuadas en tiempo y forma de acuerdo con la política de violación de seguridad, y si además existe un riesgo para los derechos y libertades de los interesados cuyos datos han sido violados, la compañía debe notificar a las autoridades de protección de datos dicha violación y la acción realizada a ser posible dentro de las 72 horas siguientes, a la detección.
4. Auditoría y responsabilidad proactiva.
El departamento de auditoría (legal o similar) es el responsable de establecer los seguimientos que considere adecuados en todos los departamentos y áreas en los que se simplemente esta política.
Cualquier empleado que viole esta política implica medidas disciplinarias, y estar sujeto a responsabilidades civiles o penales en función de su conducta y violación de leyes o reglamentos.
5. Conflictos con la legislación.
Esta política de datos personales está destinada a cumplir y hacer cumplir las leyes y reglamentos en el lugar donde se establezca y por ende en los países en los que la empresa opere. Si entrara en conflicto con las leyes o reglamentos aplicables, se someterá a estos últimos.
PERSONAL DATA PRIVACY POLICY
1. Basic principles on the processing of personal data
note: article 5 of the GDPR, «the controller shall be responsible for compliance with the principles and shall be able to demonstrate it».
1.1. Personal data shall be processed fairly, lawfully and in a transparent manner in relation to the data subject.
1.2. Personal data must be collected for specified, explicit and legitimate purposes and will not be further processed for other purposes.
1.3. Data minimization: personal data must be adequate, relevant and limited to what is necessary in relation to the purposes for which they are requested. To the extent of the company’s capacity and the level of personal data used, «Anonymization» and «Pseudonymization» techniques will be applied for better control and risk reduction.
1.4. The PD used by the organization will be accurate, establishing the appropriate measures for its verification and maintenance in case it is necessary to modify them.
1.5. Data retention period limited to the purpose for which they were collected, and to compliance with the laws that may require them.
1.6. To maintain the integrity and confidentiality of the PD, the Company, taking into account the cost of implementation and the seriousness of the risks detected in the COMPANY, will use the technology and systems available to ensure appropriate security for the PD and ensure that there is no unlawful, unauthorized processing, loss, destruction or damage of the PD.
1.7. The ENTITY shall verify that the data controllers are proactive in these principles and have the ability to demonstrate it.
2. Principles of application of PD in the activity of the company. Guidelines for an adequate PD treatment.
In order to be able to demonstrate compliance with the requirements and principles of data protection (GDPR), the organization establishes data protection as part of its business.
The processing of personal data in the business activity must be expressly authorized by the responsible person (data protection officer) in charge of data protection.
2.1. Notice to data subjects.
At the time of collection or prior to the collection of PD, for any of the activities carried out by the company that require PD processing, data subjects must be adequately informed about the types of personal data collected, the purpose of the processing, the method of processing such data, the rights of data subjects regarding their personal data, the retention period, possible international data transfers (if any), and whether the data will be shared with third parties as well as the security measures that the company applies to protect such data. This information is provided to the data subject by means of a privacy notice. (Note 1 for different data processing different privacy notices) (Note 2: for sensitive personal data ensure that the notice explicitly states the purpose for which such sensitive data is collected).
2.2. Choice and consent of the data subject:
The data controller must keep records of consents and easily provide data subjects with the options for providing such consent, as well as inform and ensure that consent can be revoked at any time. (Note, for children under 16 years of age, parental consent must be collected prior to data collection).
The person in charge of data protection in the company must ensure that requests to correct, amend or destroy records are processed within a reasonable time frame, recording and ensuring that such requests are properly maintained.
Personal data collected should only be processed for the purpose for which it was originally collected; any other processing or use should be subject to a clear and concise request for consent from the data subject. Any request in this sense must include the initial purpose and the new purposes, as well as the reason for the change.
All these requirements, relevant collection requirements, good practices and industry standards of personal data protection are the responsibility of the company’s data controller.
2.3. Data Collection:
The company will strive to collect as little personal data as possible. If PD is collected from a third party, the company’s data protection officer must ensure that it is collected lawfully.
2.4. Use, Retention and Disposal.
The purpose, methods, storage limitation and retention period of personal data shall be consistent with the information contained in the privacy notice. The company shall maintain the decision, integrity, confidentiality and relevance of PD, depending on the purpose of the processing.
The company shall use appropriate security mechanisms to protect PDs from theft, misuse or abuse, and prevent security breaches of PDs.
2.5. Communication to third parties.
When the company uses a supplier or partner to process the PD on its behalf, it must ensure that such third parties will provide appropriate security and confidentiality measures for the commissioned (requested or contracted) processing. The company shall contractually require (by contract) that such levels of protection are provided that are appropriate to the level of the data, that the supplier will comply with its obligations following the company’s guidelines, and undertakes not to use them for other purposes. The responsibilities of the company and the responsibilities of the third party (processor) should be explicitly specified.
2.6. International transfers of personal data (outside the EU).
In the event that the company needs to transfer PD outside the European Economic Area (EEA), appropriate safeguards must be employed and requested, including the signing of the data transfer agreement, as well as whether it is necessary to obtain the relevant authorization from the competent data protection authority. The company shall ensure that the entity receiving the personal data complies with the processing principles established by the EU.
2.7. Data subjects’ right of access.
Data subjects shall be provided with a reasonable mechanism to access their data, as well as to update, rectify, erase or transmit it when appropriate or required by law. Such procedure or mechanism is detailed in the data subject access request document.
2.8. Data portability.
Data subjects (owners) have the right to receive, upon request, a copy of the data they provide to the company in a structured format so that such data can be transmitted to the data controller free of charge. The company’s personal data controller shall ensure that such requests are processed in less than one month and that they do not affect the personal data rights of individuals.
2.9. Right to be forgotten.
Upon request, data subjects have the right to the complete erasure of their personal data that was given to the company at the time. The company will establish the necessary measures to inform third parties that use or process such data to comply with such request.
3. Response to data security breaches
When the company detects a personal data security breach even if there is no actual confirmation of the breach, the data controller of the crime under internal investigation may take appropriate measures in a timely manner in accordance with the security breach policy, and if there is also a risk to the rights and freedoms of the data subjects whose data has been breached, the company must notify the data protection authorities of the breach and the action taken if possible within 72 hours of detection.
4. Audit and proactive accountability.
The audit department (legal or similar) is responsible for establishing the follow-ups it deems appropriate in all departments and areas where this policy is implemented.
Any employee who violates this policy will be subject to disciplinary action, and may be subject to civil or criminal liability depending on his or her conduct and violation of laws or regulations.
5. Conflicts with Legislation.
This personal data policy is intended to comply with and enforce the laws and regulations in the location where it is established and therefore in the countries in which the company operates. If it conflicts with applicable laws or regulations, it will be subject to the latter.