1.Interpretación
- Definiciones:
-
- Toma de decisiones automatizada (ADM): cuando se toma una decisión que se basa únicamente en el procesamiento automatizado (incluida la elaboración de perfiles) que produce efectos legales o afecta significativamente a un individuo. El GDPR prohíbe la toma de decisiones automatizada (a menos que se cumplan ciertas condiciones) pero no el procesamiento automatizado.
- Procesamiento Automatizado: cualquier forma de procesamiento automatizado de Datos Personales que consista en el uso de Datos Personales para evaluar ciertos aspectos personales relacionados con un individuo, en particular para analizar o predecir aspectos relacionados con el desempeño de ese individuo en el trabajo, situación económica, salud, preferencias personales, intereses, confiabilidad, comportamiento, ubicación o movimientos. La creación de perfiles es un ejemplo de procesamiento automatizado.
- Nombre de empresa: JTF Marketing Limited
- Personal de la empresa: todos los empleados, trabajadores, contratistas, trabajadores de agencia, consultores, directores, miembros y otros.
- Consentimiento: acuerdo que debe ser dado libremente, específico, informado y ser una indicación inequívoca de los deseos del Interesado por el cual, mediante una declaración o una acción clara positiva, significa el acuerdo para el Tratamiento de los Datos Personales relacionados con él.
- Controlador: la persona u organización que determina cuándo, por qué y cómo procesar los Datos Personales. Es responsable de establecer prácticas y políticas en línea con el GDPR. Somos el controlador de todos los datos personales relacionados con el personal de nuestra empresa y los datos personales utilizados en nuestro negocio para nuestros propios fines comerciales.
- Datos de condenas penales: se refiere a datos personales relacionados con condenas y delitos penales e incluye datos personales relacionados con acusaciones y procedimientos penales.
- Sujeto de datos: una persona viva, identificada o identificable sobre la que tenemos Datos personales. Los sujetos de datos pueden ser nacionales o residentes de cualquier país y pueden tener derechos legales con respecto a sus datos personales.
- Evaluación del impacto de la privacidad de los datos (DPIA): herramientas y evaluaciones que se utilizan para identificar y reducir los riesgos de una actividad de procesamiento de datos. La DPIA puede llevarse a cabo como parte de Privacy by Design y debe realizarse para todos los programas principales de cambio de sistemas o negocios que involucran el procesamiento de datos personales.
- Delegado de protección de datos (DPO): la persona que debe ser designada en circunstancias específicas en virtud del GDPR. Cuando no se ha designado un DPO obligatorio, este término significa un administrador de protección de datos u otro nombramiento voluntario de un DPO o se refiere al equipo de privacidad de datos de la Compañía con la responsabilidad del cumplimiento de la protección de datos.
- EEA: los 28 países de la UE e Islandia, Liechtenstein y Noruega.
- Consentimiento explícito: consentimiento que requiere una declaración muy clara y específica (es decir, no solo una acción).
- Reglamento general de protección de datos (GDPR): el Reglamento general de protección de datos ((UE) 2016/679). Los datos personales están sujetos a las garantías legales especificadas en el RGPD.
- Datos personales: cualquier información que identifique a un sujeto de datos o información relacionada con un sujeto de datos que podamos identificar (directa o indirectamente) a partir de esos datos solos o en combinación con otros identificadores que poseemos o podemos acceder razonablemente. Los datos personales incluyen categorías especiales de datos personales y datos personales seudonimizados, pero excluyen los datos anónimos o los datos a los que se ha eliminado permanentemente la identidad de una persona. Los datos personales pueden ser fácticos (por ejemplo, un nombre, dirección de correo electrónico, ubicación o fecha de nacimiento) o una opinión sobre las acciones o el comportamiento de esa persona.
- Violación de datos personales: cualquier acto u omisión que comprometa la seguridad, la confidencialidad, la integridad o la disponibilidad de los datos personales o las salvaguardas físicas, técnicas, administrativas u organizativas que nosotros o nuestros proveedores de servicios externos implementamos para protegerlos. La pérdida, el acceso, la divulgación o la adquisición no autorizados de Datos Personales es una Violación de los Datos Personales.
- Privacidad por diseño: implementación de las medidas técnicas y organizativas adecuadas de manera eficaz para garantizar el cumplimiento del RGPD.
- Avisos de privacidad (también denominados Avisos de procesamiento justo) o Políticas de privacidad: avisos separados que establecen la información que se puede proporcionar a los Interesados cuando la Compañía recopila información sobre ellos. Estos avisos pueden tomar la forma de declaraciones de privacidad generales aplicables a un grupo específico de personas (por ejemplo, avisos de privacidad de los empleados o la política de privacidad del sitio web) o pueden ser declaraciones de privacidad independientes que cubren el procesamiento relacionado con un propósito específico. .
- Procesamiento o Proceso: cualquier actividad que implique el uso de Datos Personales. Incluye la obtención, el registro o la conservación de los datos, o la realización de cualquier operación o conjunto de operaciones sobre los datos, incluida su organización, modificación, recuperación, uso, divulgación, eliminación o destrucción. El procesamiento también incluye la transmisión o transferencia de datos personales a terceros.
- Seudonimización o seudonimización: reemplazar la información que identifica directa o indirectamente a una persona con uno o más identificadores artificiales o seudónimos para que la persona a la que se refieren los datos no pueda ser identificada sin el uso de información adicional que debe mantenerse separada y segura. .
- Categorías especiales de datos personales: información que revele origen racial o étnico, opiniones políticas, creencias religiosas o similares, afiliación sindical, condiciones de salud física o mental, vida sexual, orientación sexual, datos biométricos o genéticos.
2.Introducción
Este Estándar de Privacidad establece cómo JTF Marketing Limited (“nosotros”, “nuestro”, “nos”, “la Compañía”) maneja los Datos Personales de nuestros clientes, proveedores, empleados, trabajadores y otros terceros.
Este Estándar de privacidad se aplica a todos los datos personales que procesamos, independientemente del medio en el que se almacenan esos datos o si se relaciona con empleados, trabajadores, clientes, clientes o contactos de proveedores, accionistas, usuarios del sitio web o cualquier otro sujeto de datos, pasados o presentes.
Este estándar de privacidad se aplica a todo el personal de la empresa (“usted”, “su”). Debe leer, comprender y cumplir con este Estándar de privacidad al procesar datos personales en nuestro nombre y asistir a la capacitación sobre sus requisitos. Este Estándar de privacidad establece lo que esperamos de usted para que la Compañía cumpla con la ley aplicable. Su cumplimiento de este Estándar de privacidad es obligatorio. Cualquier incumplimiento de este Estándar de privacidad puede resultar en una acción disciplinaria.
Cuando tenga una responsabilidad específica en relación con el procesamiento, como obtener el consentimiento, informar una violación de datos personales, realizar una DPIA como se indica en este Estándar de privacidad.
Este Estándar de Privacidad es un documento interno y no se puede compartir con terceros, clientes o reguladores sin la autorización previa del DPO.
3.Alcance
Reconocemos que el tratamiento correcto y legal de los Datos personales mantendrá la confianza en la organización y permitirá operaciones comerciales exitosas. La protección de la confidencialidad y la integridad de los datos personales es una responsabilidad fundamental que nos tomamos en serio en todo momento.
Todos los gerentes son responsables de garantizar que todo el personal de la empresa cumpla con este Estándar de privacidad y deben implementar prácticas, procesos, controles y capacitación adecuados para garantizar ese cumplimiento.
El DPO es responsable de supervisar este Estándar de privacidad. Ese cargo lo ocupa James T Fletcher, dataofficer@34.78.222.86.
Comuníquese con el DPO si tiene alguna pregunta sobre el funcionamiento de este Estándar de privacidad o el GDPR o si tiene alguna inquietud de que este Estándar de privacidad no se esté siguiendo o no se haya seguido.
4. Principios de protección de datos personales
Nos adherimos a los principios relacionados con el procesamiento de datos personales establecidos en el GDPR que requieren que los datos personales sean:
- Procesados de manera legal, justa y transparente (Licitud, Equidad y Transparencia);
recopilados solo para fines específicos, explícitos y legítimos (Limitación de propósito); - adecuado, relevante y limitado a lo necesario en relación con los fines para los que se procesa (Minimización de datos);
- exacto y, cuando sea necesario, actualizado (Exactitud);
- no se conservan en un formato que permita la identificación de los sujetos de datos durante más tiempo del necesario para los fines para los que se procesan los datos (limitación de almacenamiento);
- Procesado de una manera que garantice su seguridad utilizando las medidas técnicas y organizativas apropiadas para proteger contra el Procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental (Seguridad, Integridad y Confidencialidad);
- no se transfiere a otro país sin que se hayan implementado las salvaguardias adecuadas (limitación de transferencia);
- y puesto a disposición de los Interesados y permitir que los Interesados ejerzan ciertos derechos en relación con sus Datos Personales (Derechos y Solicitudes del Interesado).
Somos responsables y debemos poder demostrar el cumplimiento de los principios de protección de datos enumerados anteriormente (Responsabilidad).
5.Licitud, equidad, transparencia
- Legalidad y equidad
- Los datos personales deben procesarse de manera legal, justa y transparente en relación con el sujeto de los datos.Solo puede recopilar, procesar y compartir datos personales de manera justa y legal y para fines específicos. El GDPR restringe nuestras acciones con respecto a los Datos personales a fines legales específicos. Estas restricciones no pretenden evitar el procesamiento, pero garantizan que procesamos los datos personales de manera justa y sin afectar negativamente al sujeto de los datos.
El RGPD permite el procesamiento para fines específicos, algunos de los cuales se detallan a continuación:
- el interesado ha dado su consentimiento;
- el Tratamiento es necesario para la ejecución de un contrato con el Interesado;
- para cumplir con nuestras obligaciones de cumplimiento legal;
- para proteger los intereses vitales del Interesado;
- para perseguir nuestros intereses legítimos para fines donde no se invaliden porque el Procesamiento perjudica los intereses o los derechos y libertades fundamentales de los Interesados. Los fines para los que procesamos los Datos personales por intereses legítimos deben establecerse en los Avisos de privacidad aplicables.
You must identify and document the legal ground being relied on for each Processing activity.
6.Consentimiento
Debe identificar y documentar el fundamento legal en el que se basa para cada actividad de procesamiento.
Un sujeto de datos da su consentimiento para el procesamiento de sus datos personales si indica claramente su acuerdo, ya sea mediante una declaración o una acción positiva al procesamiento. El consentimiento requiere acción afirmativa, por lo que es poco probable que el silencio, las casillas marcadas previamente o la inactividad sean suficientes. Si el Consentimiento se otorga en un documento que trata sobre otros asuntos, entonces el Consentimiento debe mantenerse separado de esos otros asuntos.
Los interesados deben poder retirar fácilmente el consentimiento para el procesamiento en cualquier momento y el retiro debe cumplirse de inmediato. Es posible que deba actualizar el consentimiento si tiene la intención de procesar datos personales para un propósito diferente e incompatible que no fue revelado cuando el interesado dio su consentimiento por primera vez.
Al procesar datos de categorías especiales o datos de condenas penales, generalmente nos basaremos en una base legal para el procesamiento que no sea el consentimiento explícito o el consentimiento, si es posible. Cuando se confía en el Consentimiento explícito, debe emitir un Aviso de privacidad al Interesado para capturar el Consentimiento explícito
Deberá evidenciar el Consentimiento capturado y mantener registros de todos los Consentimientos para que la Compañía pueda demostrar el cumplimiento de los requisitos de Consentimiento.
7.Transparencia (notificación a los interesados)
El GD requiere que los controladores de datos proporcionen información detallada y específica a los sujetos de datos, dependiendo de si la información se recopiló directamente de los sujetos de datos o de otro lugar. La información debe proporcionarse a través de Avisos de privacidad apropiados, que deben ser concisos, transparentes, inteligibles, de fácil acceso y en un lenguaje claro y sencillo para que el Interesado pueda comprenderlos fácilmente.
Siempre que recopilemos Datos personales directamente de los sujetos de datos, incluso para fines de recursos humanos o empleo, debemos proporcionar al sujeto de datos toda la información requerida por el GDPR, incluida la identidad del controlador y el DPO, cómo y por qué usaremos, Procesar, divulgar, proteger y conservar esos Datos personales a través de un Aviso de privacidad que debe presentarse cuando el Interesado proporciona los Datos personales por primera vez.
Cuando los datos personales se recopilan indirectamente (por ejemplo, de un tercero o de una fuente disponible públicamente), debemos proporcionar al sujeto de los datos toda la información requerida por el GDPR tan pronto como sea posible después de recopilar o recibir los datos. También debemos verificar que los datos personales fueron recopilados por un tercero de acuerdo con el GDPR y sobre una base que contemple nuestro procesamiento propuesto de esos datos personales.
Si está recopilando datos personales de sujetos de datos, directa o indirectamente, debe proporcionar a los sujetos de datos un aviso de privacidad.
8.Limitación de propósito.
Los datos personales deben recopilarse solo para fines específicos, explícitos y legítimos. No debe procesarse adicionalmente de ninguna manera incompatible con esos fines.
No puede utilizar los datos personales para fines nuevos, diferentes o incompatibles con los divulgados cuando se obtuvieron por primera vez, a menos que haya informado al sujeto de los datos de los nuevos fines y haya dado su consentimiento cuando sea necesario.
9.Minimización de datos
os datos personales deben ser adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se procesan.
Solo puede procesar datos personales cuando el desempeño de sus funciones laborales lo requiera. No puede procesar datos personales por ningún motivo que no esté relacionado con sus obligaciones laborales.
Solo puede recopilar los datos personales que necesita para sus tareas laborales: no recopile datos excesivos. Asegúrese de que los datos personales recopilados sean adecuados y relevantes para los fines previstos.
Debe asegurarse de que cuando los Datos personales ya no sean necesarios para fines específicos, se eliminen o anonimicen de acuerdo con las pautas de retención de datos de la Compañía.
10.Precisión
Los datos personales deben ser precisos y, cuando sea necesario, mantenerse actualizados. Debe corregirse o eliminarse sin demora cuando sea inexacto.
Se asegurará de que los Datos personales que utilizamos y conservamos sean precisos, completos, actualizados y relevantes para el propósito para el que los recopilamos. Debe verificar la exactitud de los Datos personales en el punto de recopilación y posteriormente a intervalos regulares. Debe tomar todas las medidas razonables para destruir o modificar los Datos personales inexactos o desactualizados.
11.Limitación de almacenamiento
Los datos personales no deben conservarse de forma identificable durante más tiempo del necesario para los fines para los que se procesan los datos.
La Compañía mantendrá políticas y procedimientos de retención para garantizar que los Datos Personales se eliminen después de un tiempo razonable para los fines para los que fueron retenidos, a menos que una ley requiera que los datos se mantengan por un tiempo mínimo.
No debe conservar los Datos personales en una forma que permita la identificación del Sujeto de datos durante más tiempo del necesario para el propósito comercial legítimo o los propósitos para los que los recopilamos originalmente, incluido el propósito de satisfacer cualquier requisito legal, contable o de informes.
Tomará todas las medidas razonables para destruir o borrar de nuestros sistemas todos los Datos personales que ya no necesitemos de acuerdo con todos los programas y políticas de retención de registros aplicables de la Compañía. Esto incluye exigir a terceros que eliminen esos datos cuando corresponda.
Se asegurará de que los interesados estén informados del período durante el cual se almacenan los datos y cómo se determina ese período en cualquier Aviso de privacidad aplicable
12.Seguridad, integridad y confidencialidad.
- Protección de datos personales
Los datos personales deben protegerse mediante medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidental.
Desarrollaremos, implementaremos y mantendremos salvaguardas apropiadas para nuestro tamaño, alcance y negocio, nuestros recursos disponibles, la cantidad de Datos personales que poseemos o mantenemos en nombre de otros y los riesgos identificados (incluido el uso de cifrado y seudonimización cuando corresponda). Evaluaremos y probaremos regularmente la efectividad de esas salvaguardas para garantizar la seguridad de nuestro procesamiento de datos personales. Usted es responsable de proteger los datos personales que tenemos. Debe implementar medidas de seguridad razonables y apropiadas contra el procesamiento ilegal o no autorizado de datos personales y contra la pérdida accidental o daño de los datos personales. Debe tener especial cuidado en proteger las categorías especiales de datos personales y los datos de condenas penales contra la pérdida y el acceso, uso o divulgación no autorizados.
Debe seguir todos los procedimientos y tecnologías que implementamos para mantener la seguridad de todos los Datos personales desde el punto de recopilación hasta el punto de destrucción. Solo puede transferir Datos personales a proveedores de servicios externos que acepten cumplir con las políticas y procedimientos requeridos y que acepten implementar las medidas adecuadas, según se solicite.
Debe mantener la seguridad de los datos protegiendo la confidencialidad, integridad y disponibilidad de los Datos personales, que se definen a continuación:
- Confidencialidad significa que solo las personas que tienen la necesidad de conocer y están autorizadas a usar los Datos Personales pueden acceder a ellos;
- Integridad significa que los Datos personales son precisos y adecuados para el propósito para el que se procesan; y
- Disponibilidad significa que los usuarios autorizados pueden acceder a los Datos personales cuando los necesitan para fines autorizados.
Debe cumplir y no intentar eludir las salvaguardas administrativas, físicas y técnicas que implementamos y mantenemos de acuerdo con el GDPR y los estándares relevantes para proteger los Datos personales.
13.Informar de una violación de datos personales
El GDPR requiere que los Controladores notifiquen cualquier Violación de datos personales al regulador correspondiente y, en ciertos casos, al Sujeto de los datos.
Hemos implementado procedimientos para tratar cualquier sospecha de Violación de Datos Personales y notificaremos a los Interesados o cualquier regulador aplicable cuando estemos legalmente obligados a hacerlo.
Si sabe o sospecha que se ha producido una infracción de datos personales, no intente investigar el asunto usted mismo. Comuníquese de inmediato con la persona o el equipo designado como punto de contacto clave para violaciones de datos personales (el DPO). Debe conservar todas las pruebas relacionadas con la posible violación de datos personales.
14.Limitación de transferencia
El GDPR restringe las transferencias de datos a países fuera del EEE para garantizar que el nivel de protección de datos que ofrece el GDPR a las personas no se vea socavado. Usted transfiere datos personales que se originan en un país a través de las fronteras cuando transmite, envía, ve o accede a esos datos en o hacia un país diferente.
Solo puede transferir Datos personales fuera del EEE si se aplica una de las siguientes condiciones:
- la Comisión Europea ha emitido una decisión confirmando que el país al que transferimos los Datos Personales garantiza un nivel adecuado de protección de los derechos y libertades del Interesado;
- existen salvaguardas apropiadas tales como reglas corporativas vinculantes (BCR), cláusulas contractuales estándar aprobadas por la Comisión Europea, un código de conducta aprobado o un mecanismo de certificación, una copia del cual se puede obtener del RPD;
- el Interesado ha dado su consentimiento explícito a la transferencia propuesta después de haber sido informado de cualquier riesgo potencial; o
- la transferencia es necesaria por una de las otras razones establecidas en el GDPR, incluida la ejecución de un contrato entre nosotros y el interesado, razones de interés público, para establecer, ejercer o defender reclamaciones legales o para proteger los intereses vitales de los datos Sujeto donde el Interesado es física o legalmente incapaz de dar su consentimiento y, en algunos casos limitados, para nuestro interés legítimo.
15.Derechos y solicitudes del sujeto de datos
Los interesados tienen derechos en lo que respecta a cómo manejamos sus datos personales. Estos incluyen derechos a:
- retirar el consentimiento para el procesamiento en cualquier momento;
- recibir cierta información sobre las actividades de procesamiento del controlador de datos;
- solicitar acceso a sus Datos personales que tenemos;
- evitar nuestro uso de sus Datos personales con fines de marketing directo;
- pedirnos que eliminemos los Datos Personales si ya no son necesarios en relación con los fines para los que fueron recopilados o procesados o para rectificar datos inexactos o para completar datos incompletos;
- restringir el procesamiento en circunstancias específicas;
- impugnar el procesamiento que ha sido justificado sobre la base de nuestros intereses legítimos o en el interés público;
- solicitar una copia de un acuerdo en virtud del cual los Datos personales se transfieren fuera del EEE;
- oponerse a las decisiones basadas únicamente en el procesamiento automatizado, incluida la elaboración de perfiles (ADM);
- prevenir Procesos que puedan causar daños o angustias al Interesado o cualquier otra persona;
ser notificado de una Violación de Datos Personales que probablemente resulte en un alto riesgo para sus derechos y libertades; - presentar una queja a la autoridad supervisora;
- en circunstancias limitadas, recibir o solicitar que sus Datos personales sean transferidos a un tercero en un formato estructurado, de uso común y legible por máquina.
Debe verificar la identidad de una persona que solicita datos en virtud de cualquiera de los derechos enumerados anteriormente (no permita que terceros lo persuadan para que revele Datos personales sin la debida autorización).
Debe remitir inmediatamente cualquier solicitud de sujeto de datos que reciba a su supervisor.
16.Responsabilidad
El Responsable debe implementar las medidas técnicas y organizativas adecuadas de manera eficaz, para garantizar el cumplimiento de los principios de protección de datos. El Responsable del tratamiento es responsable y debe poder demostrar el cumplimiento de los principios de protección de datos.
La Compañía debe contar con los recursos y controles adecuados para garantizar y documentar el cumplimiento del RGPD, incluidos:
- nombrar un DPO debidamente calificado (cuando sea necesario) y un ejecutivo responsable de la privacidad de los datos;
- implementar Privacidad por Diseño al Procesar Datos Personales y completar DPIA donde el Procesamiento presenta un alto riesgo para los derechos y libertades de los Interesados;
- integrar la protección de datos en documentos internos, incluido este Estándar de privacidad o Avisos de privacidad;
- capacitar regularmente al personal de la empresa sobre el RGPD, este estándar de privacidad y cuestiones de protección de datos, incluidos, por ejemplo, los derechos del interesado, el consentimiento, la base legal, la DPIA y las infracciones de datos personales. La Compañía debe mantener un registro de asistencia a la capacitación por parte del Personal de la Compañía; y
- probar regularmente las medidas de privacidad implementadas y realizar revisiones y auditorías periódicas para evaluar el cumplimiento, incluido el uso de los resultados de las pruebas para demostrar el esfuerzo de mejora del cumplimiento.
17. mantenimiento de registros
El GDPR nos obliga a mantener registros completos y precisos de todas nuestras actividades de procesamiento de datos.
Debe mantener y mantener registros corporativos precisos que reflejen nuestro procesamiento, incluidos los registros de los Consentimientos de los Interesados y los procedimientos para obtener Consentimientos.
Estos registros deben incluir, como mínimo, el nombre y la información de contacto del controlador y el DPO, descripciones claras de los tipos de datos personales, tipos de sujetos de datos, actividades de procesamiento, propósitos de procesamiento, terceros destinatarios de los datos personales, datos personales ubicaciones de almacenamiento, transferencias de datos personales, el período de retención de los datos personales y una descripción de las medidas de seguridad implementadas. Para crear los registros, se deben crear mapas de datos que deben incluir el detalle establecido anteriormente junto con los flujos de datos apropiados.
18.Formación y auditoría
Estamos obligados a asegurarnos de que todo el personal de la empresa haya recibido la formación adecuada que les permita cumplir con las leyes de privacidad de datos. También debemos probar periódicamente nuestros sistemas y procesos para evaluar el cumplimiento.
Debe someterse a toda la formación obligatoria relacionada con la privacidad de los datos y asegurarse de que su equipo reciba una formación obligatoria similar.
Debe revisar periódicamente todos los sistemas y procesos bajo su control para asegurarse de que cumplan con este Estándar de privacidad y verificar que existan controles y recursos de gobernanza adecuados para garantizar el uso y la protección adecuados de los Datos personales.
19.Privacidad por diseño y evaluación de impacto de protección de datos (DPIA)
Estamos obligados a implementar medidas de Privacidad por Diseño al Procesar Datos Personales mediante la implementación de medidas técnicas y organizativas apropiadas (como la Pseudonimización) de manera efectiva, para garantizar el cumplimiento de los principios de privacidad de datos.
Debe evaluar qué medidas de Privacidad por diseño se pueden implementar en todos los programas, sistemas o procesos que procesan datos personales teniendo en cuenta lo siguiente:
- el estado del arte;
- el costo de implementación;
- la naturaleza, alcance, contexto y propósitos del procesamiento; y
- los riesgos de diversa probabilidad y gravedad de los derechos y libertades de los Interesados planteados por el Tratamiento.
Los controladores de datos también deben realizar DPIA con respecto al procesamiento de alto riesgo.
Debe realizar una DPIA (y discutir sus hallazgos con el DPO) cuando implemente programas importantes de cambio de sistemas o negocios que involucren el procesamiento de datos personales, que incluyen:
- uso de nuevas tecnologías (programas, sistemas o procesos), o tecnologías cambiantes (programas, sistemas o procesos);
- Procesamiento automatizado que incluye elaboración de perfiles y ADM;
- Procesamiento a gran escala de categorías especiales de datos personales o datos de condenas penales; y
- Monitoreo sistemático a gran escala de un área de acceso público.
Una DPIA debe incluir:
- una descripción del procesamiento, sus propósitos y los intereses legítimos del controlador de datos, si corresponde;
- una evaluación de la necesidad y proporcionalidad del Tratamiento en relación con su finalidad;
- una evaluación del riesgo para las personas; y
- las medidas de mitigación de riesgos vigentes y la demostración de cumplimiento.
20.Procesamiento automatizado (incluida la elaboración de perfiles) y toma de decisiones automatizada
Generalmente, ADM está prohibido cuando una decisión tiene un efecto significativo legal o similar en un individuo a menos que:
- un interesado ha dado su consentimiento explícito;
- el procesamiento está autorizado por la ley; o
- el Tratamiento es necesario para la ejecución o celebración de un contrato.
Si se están procesando ciertos tipos de categorías especiales de datos personales o datos de condenas penales, no se permitirán los motivos (b) o (c), pero las categorías especiales de datos personales y los datos de condenas penales pueden procesarse donde sea necesario (a menos que se pueden utilizar medios menos intrusivos) para un interés público sustancial, como la prevención del fraude.
Si una decisión debe basarse únicamente en el procesamiento automatizado (incluida la elaboración de perfiles), los interesados deben ser informados cuando se comunique con ellos por primera vez sobre su derecho a oponerse. Este derecho debe ser llamado explícitamente a su atención y presentado de manera clara y separada de otra información. Además, deben adoptarse las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
También debemos informar al Interesado de la lógica involucrada en la toma de decisiones o elaboración de perfiles, la importancia y las consecuencias previstas y otorgar al Interesado el derecho a solicitar la intervención humana, expresar su punto de vista o impugnar la decisión.
Se debe llevar a cabo una DPIA antes de realizar cualquier procesamiento automatizado (incluida la elaboración de perfiles) o actividades de ADM.
21.Marketing directo
Estamos sujetos a ciertas reglas y leyes de privacidad cuando comercializamos con nuestros clientes.
Por ejemplo, se requiere el consentimiento previo de un sujeto de datos para el marketing directo electrónico (por ejemplo, por correo electrónico, mensajes de texto o llamadas automáticas). La excepción limitada para los clientes existentes conocida como “aceptación flexible” permite a las organizaciones enviar mensajes de texto o correos electrónicos de marketing si obtuvieron información de contacto en el curso de una venta a esa persona, están comercializando productos o servicios similares y dieron el persona la oportunidad de optar por no participar en el marketing al recopilar los detalles por primera vez y en todos los mensajes posteriores.
El derecho a oponerse al marketing directo debe ofrecerse explícitamente al interesado de manera inteligible para que se distinga claramente de otra información.
La objeción de un interesado al marketing directo debe cumplirse de inmediato. Si un cliente opta por no participar en cualquier momento, sus datos deben suprimirse lo antes posible. La supresión implica retener la información suficiente para garantizar que se respeten las preferencias de marketing en el futuro.
22. Compartir datos personales
Por lo general, no se nos permite compartir datos personales con terceros a menos que se hayan establecido determinadas salvaguardias y acuerdos contractuales.
Solo puede compartir los Datos personales que tenemos con otro empleado, agente o representante de nuestro grupo (que incluye nuestras subsidiarias y nuestra última compañía matriz junto con sus subsidiarias) si el destinatario tiene una necesidad relacionada con el trabajo de conocer la información y la transferencia. cumple con las restricciones aplicables a las transferencias transfronterizas.
Solo puede compartir los Datos personales que tenemos con terceros, como nuestros proveedores de servicios, si:
- tienen necesidad de conocer la información a los efectos de la prestación de los servicios contratados;
- compartir los Datos personales cumple con el Aviso de privacidad proporcionado al Sujeto de datos y, si es necesario, se ha
- obtenido el Consentimiento del Sujeto de datos;
- el tercero ha acordado cumplir con los estándares, políticas y procedimientos de seguridad de datos requeridos y poner en práctica las medidas de seguridad adecuadas;
- la transferencia cumple con las restricciones de transferencia transfronterizas aplicables; y
- Se ha obtenido un contrato escrito completamente ejecutado que contiene cláusulas de terceros aprobadas por GDPR.
23.Cambios a este estándar de privacidad
Mantenemos este Estándar de privacidad bajo revisión regular. Esta versión se actualizó por última vez el 7 de febrero de 2019.
Este Estándar de privacidad no anula las leyes y regulaciones nacionales de privacidad de datos aplicables en los países donde opera la Compañía.