Política de privacidad y protección de datos

  • 20 Oct, 2020

1. Purpose

1.1: La Política de privacidad de Expandigo (en adelante, "la Política") define los requisitos para garantizar el cumplimiento de las leyes y regulaciones aplicables a la recopilación, uso, procesamiento y transferencia de datos personales.

2. Alcance

2.1: La Política se aplica a todos los empleados de tiempo completo y parcial, contratistas y cualquier otra categoría de colaboradores, proveedores, socios de la Compañía que tengan acceso a los datos personales recopilados o procesados por la Compañía, independientemente de la ubicación geográfica.

2.2: La Compañía establecerá su estado para todo el procesamiento de datos como Controlador de datos o Procesador de datos que actúa en nombre de otro Controlador de datos.

3. Definiciones

Consentimiento : consentimiento significa "cualquier indicación específica e informada dada libremente de sus deseos por la cual el Interesado significa que los datos personales relacionados con él sean procesados". Sin embargo, consentimiento puede obtenerse mediante varios métodos. Estos pueden incluir cláusulas en los contratos de trabajo, casillas de verificación en las respuestas a los formularios de solicitud o de compra y casillas de clic en los formularios en línea donde se ingresan datos personales. En la mayoría de los países de la Unión Europea, el consentimiento para el procesamiento de datos personales sensibles debe ser claro e inequívoco. Esto generalmente significa que se requiere alguna forma de consentimiento activo específico.

Datos : Los datos (tengan o no una letra mayúscula inicial) tal como se utilizan en la Política significarán información que:

  • se procesa por medio de equipos que operan automáticamente en respuesta a las instrucciones dadas para ese propósito;
  • se registra con la intención de que sea procesado por medio de dicho equipo;
  • se registra como parte de un sistema de archivo relevante o con la intención de que forme parte de un sistema de archivo relevante;
  • no se incluye en ninguno de los anteriores, pero forma parte de un registro de fácil acceso que cubre a una persona.
  • Por lo tanto, los datos incluyen cualquier dato digital por computadora o equipo automatizado, grabaciones telefónicas y cualquier información manual que sea parte de un sistema de archivo relevante.

Controlador de datos : controlador de datos significa una persona que (sola o con otros) determina los propósitos para los cuales y la forma en que se procesan o se procesarán los datos personales. Generalmente, la propia Compañía será el controlador de datos en la mayoría de los casos.

Exportador de datos : exportador de datos significa el controlador de datos o procesador de datos que transfiere los datos personales al extranjero.

Importador de datos : importador de datos significa el controlador de datos o procesador de datos que acepta recibir del exportador de datos datos personales para su procesamiento posterior de acuerdo con los términos de la Política y el acuerdo de transferencia de datos correspondiente. .

Procesador de datos : procesador de datos significa cualquier persona, que no sea un empleado del controlador de datos, que procesa los datos en nombre del controlador de datos. Una empresa puede ser un procesador de datos si se define como tal en los términos contractuales con el controlador de datos.

Autoridad de Protección de Datos : un organismo encargado de la protección de datos y privacidad. Las autoridades están establecidas para defender los derechos de información tanto en interés público como privado.

Seguridad de los datos : medidas que el responsable y el encargado del tratamiento deben implementar para el cumplimiento de los principios de protección de datos por diseño y por defecto y para garantizar un nivel de seguridad adecuado al riesgo de los derechos y libertades de las personas. , teniendo en cuenta el estado de la técnica, el costo de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento.

Sujeto de datos : sujeto de datos significa la persona a la que se refieren los datos. Los sujetos de datos incluyen clientes y usuarios de la web, personas en listas de contacto / correo electrónico o bases de datos de marketing, empleados, contratistas y proveedores.

Marcos de protección de privacidad UE-EE. UU. y Suiza-EE. UU. : la UE-EE. UU. y Suiza-EE. UU. Los marcos del Escudo de la privacidad fueron diseñados por el Departamento de Comercio de EE. UU. Y la Comisión Europea y la Administración Suiza, respectivamente, para proporcionar a las empresas de ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales desde la Unión Europea y Suiza. a los Estados Unidos en apoyo del comercio transatlántico. El 12 de julio de 2016, la Comisión Europea consideró que la UE-EE. UU. El marco del Escudo de privacidad es adecuado para permitir transferencias de datos según la legislación de la UE. El 12 de enero de 2017, el Gobierno suizo anunció la aprobación de Suiza-EE. UU. Privacy Shield Framework como un mecanismo legal válido para cumplir con los requisitos suizos al transferir datos personales de Suiza a los Estados Unidos.

Datos personales : datos personales son los datos relacionados con una persona viva que puede identificarse a partir de esos datos o de esos datos y otra información en posesión o que pueda llegar a poseer, un controlador de datos o procesador de datos. Los datos personales no incluyen información que haya sido anonimizada, codificada o despojada de sus identificadores, o información que esté disponible públicamente, a menos que se combine con otra información personal no pública.

Procesamiento : el procesamiento cubre una amplia variedad de operaciones relacionadas con los datos, incluida la obtención, el registro o la conservación de los datos o la realización de cualquier operación o conjunto de operaciones con los datos, que incluyen:

  • Organización, adaptación o alteración;
  • Divulgación por transmisión, difusión o de otro modo; y
  • Alineación, combinación, bloqueo, borrado o destrucción.

Sistema de archivo relevante : sistema de archivo relevante significa cualquier conjunto de información relacionada con individuos, ya sea guardada en archivos manuales o electrónicos, estructurada, ya sea por referencia a individuos o por referencia a criterios relacionados forma en que la información específica relacionada con un individuo en particular es fácilmente accesible. Por lo tanto, cualquier base de datos digital y / o archivos manuales organizados relacionados con individuos vivos identificables entran dentro del alcance de las leyes y regulaciones de protección de datos, mientras que una base de datos de información puramente estadística o financiera (que no puede estar relacionada directa o indirectamente con ningún individuo vivo identificable) no lo hará.

Datos confidenciales : datos confidenciales son datos personales que contienen información sobre el interesado:

  • Raza u origen étnico;
  • Creencias religiosas u otras creencias de naturaleza similar;
  • Opiniones políticas;
  • Salud o condición física o mental;
  • Historia u orientación sexual;
  • afiliación sindical;
  • Comisión o presunta comisión de cualquier delito y cualquier procedimiento judicial relacionado.

Tecnología : la tecnología debe interpretarse de manera amplia, para incluir cualquier medio de recopilación o procesamiento de datos, incluidos, entre otros, computadoras y redes, sistemas de telecomunicaciones, dispositivos de grabación de video y audio, dispositivos biométricos, circuito cerrado de televisión, etc.

4. Cumplimiento grupal

4.1: El programa de cumplimiento de datos de la Compañía será supervisado por el Sr. Steven Clay Turner (en adelante, "funcionario de privacidad de datos -DPO"), uno de los dos fundadores de la Compañía. El DPO puede ser asistido por personal de cumplimiento designado localmente y auditores internos y delegar competencias a especialistas calificados en protección de datos.

4.2: El DPO o un especialista en protección de datos designado implementará la política y los procedimientos internacionales de protección de datos de la Compañía, así como cualquier obligación adicional establecida por las Leyes de Protección de Datos, que incluyen, entre otros:

  • Determinar si se requiere notificación a una o más Autoridades de protección de datos como resultado del procesamiento de datos de la Compañía.
  • Definición de programas en marcha para capacitar a los empleados a fin de garantizar el cumplimiento de la normativa de protección de datos.
  • Establecer procedimientos y disposiciones estándar para cumplir con la Política por parte de clientes, proveedores y cualquier tercero que pueda recibir datos personales de la Compañía, tener acceso a datos personales recopilados o procesados ​​por la Compañía, o que proporcionen información a la Compañía. , independientemente de la ubicación geográfica.
  • Establecer mecanismos para auditorías periódicas del cumplimiento de esta Política, implementar procedimientos y la ley aplicable.
  • Establecer, mantener y operar un sistema para respuestas rápidas y apropiadas a las solicitudes de los Interesados ​​para ejercer sus derechos.
  • Establecer, mantener y operar un sistema para la divulgación automática rápida y apropiada a las autoridades pertinentes y a los interesados ​​de cualquier pérdida de datos personales.
  • Informar a los empleados, altos directivos, funcionarios, contratistas, etc. de la Compañía de las posibles sanciones civiles y penales corporativas y personales que pueden imponerse a la Compañía y / o sus empleados, colaboradores, etc. legislación de protección de datos.
  • Garantizar que los planes de gestión de riesgos en relación con la protección de datos se implementen de manera eficaz y rápida.

5. Principios de protección de datos

5.1: La Compañía ha adoptado los siguientes principios para regir la recopilación, uso, procesamiento y transmisión de datos personales:

  • Los datos personales solo se procesarán de manera justa y legal.
  • Los datos personales se obtendrán solo para fines específicos, explícitos, legales y legítimos, y no se procesarán de ninguna manera incompatible con esos fines.
  • Los datos personales deben ser adecuados, relevantes y no excesivos en relación con los fines para los que se recopilan y / o procesan.
  • Los datos personales no se recopilarán ni procesarán a menos que se establezca adecuadamente una base legal para el procesamiento.

5.2: Se tomarán todas las medidas para:

  • Prevenir y / o identificar la recopilación, el procesamiento y la transmisión no autorizados o ilegales de datos personales; y
  • Evite la pérdida accidental, la destrucción o el daño de los datos personales.

6. Transferencias a terceros

6.1: Los datos personales no se transferirán a otra entidad, país o territorio, a menos que se hayan tomado medidas razonables y apropiadas para establecer y mantener el nivel requerido de seguridad de datos.

6.2: Los datos personales pueden ser comunicados a terceros solo por motivos consistentes con los fines para los que se recopilaron originalmente u otros fines autorizados por la ley.

6.3: Todas las transferencias de datos personales a terceros para su posterior procesamiento estarán sujetas a acuerdos por escrito.

6.4: Los datos personales de la UE no se transferirán a un país o territorio fuera del Espacio Económico Europeo (EEE) a menos que la transferencia se realice a un país o territorio reconocido por la UE con un nivel adecuado de seguridad de datos o al Estados Unidos bajo el Escudo de privacidad UE-EE. UU. Y Suiza-EE. UU.

6.5: Sujeto a las disposiciones de lo anterior, los datos personales pueden ser transferidos cuando se aplique cualquiera de los siguientes:

  • El interesado ha dado su consentimiento para la transferencia propuesta;
  • La transferencia es necesaria para la ejecución de un contrato entre el interesado y la Compañía;
  • La transferencia es necesaria para la celebración o ejecución de un contrato celebrado en interés del interesado entre la Compañía y un tercero;
  • La transferencia es necesaria o legalmente requerida por motivos importantes de interés público, o para el establecimiento, ejercicio o defensa de reclamos legales;
  • La transferencia es requerida por ley;
  • La transferencia es necesaria para proteger los intereses vitales del interesado.

7. Prevención de los sistemas informáticos que no cumplen

7.1: El director de información de la empresa (CIO) establecerá un procedimiento para evaluar el impacto de cualquier tecnología nueva o existente en la privacidad y seguridad de los datos personales.

7.2: No se pondrá a disposición para su uso ningún sistema nuevo o versión nueva de un sistema existente hasta que el DPO haya obtenido la confirmación, por escrito, del CIO de que no se infringiría ninguna legislación de protección de datos.

8. Fuentes de datos personales

8.1: Los datos personales se recopilarán solo del interesado, a menos que la naturaleza del propósito comercial requiera la recopilación de datos de otras personas u organismos.

8.2: Si los datos personales se recopilan de alguien que no sea el interesado, la unidad de negocios que recopila los datos debe tener una confirmación, por escrito, del proveedor de los datos de que existe una base legal para la transferencia y el procesamiento de los datos personales a la Compañía.

9. Derechos del interesado

9.1: Los interesados tendrán derecho a obtener la información sobre sus propios datos personales en poder de la Compañía mediante una solicitud por escrito.

9.2: La Compañía proporcionará su respuesta a una solicitud anterior dentro de los 40 días a partir de la fecha de la solicitud por escrito, o dentro de un plazo más corto si así lo requiere la legislación de protección de datos aplicable.

9.3: Los interesados tendrán derecho a solicitar a la Compañía que corrija o complemente los datos personales erróneos, engañosos, desactualizados o incompletos que tenga sobre ellos.

10. Datos sensibles

10.1: Los datos personales sensibles no deben procesarse a menos que:

  • Dicho procesamiento está específicamente autorizado o requerido por la ley.
  • El interesado da su consentimiento de forma expresa e inequívoca.
  • Cuando el interesado es física o legalmente incapaz de dar su consentimiento, pero el procesamiento es necesario para proteger un interés vital del interesado.
  • Los datos relacionados con delitos penales pueden ser procesados solo por o bajo el control del departamento legal.

11. Garantía de calidad de los datos

11.1: Los datos personales deben conservarse solo durante el período necesario para los usos permitidos.

11.2: Los datos personales se borrarán si su almacenamiento viola cualquier ley de protección de datos o si el interesado lo solicita.

12. Procesamiento intragrupo

12.1: Si la Compañía confía en otra compañía del grupo para ayudar en sus actividades de procesamiento, la Compañía celebrará un Acuerdo de Transferencia de Datos basado en las Cláusulas Modelo de la UE con esa otra compañía del grupo para asegurar que la responsabilidad de los datos sea claramente identificado, ya que ambas partes pueden considerarse controladores de datos.

12.2: Cuando la otra empresa del grupo esté ubicada en un país diferente, las empresas del grupo involucradas en el procesamiento se identificarán respectivamente como exportador de datos e importador de datos.

13. Procesadores de terceros

13.1: De manera similar, cuando la Compañía confía en terceros para ayudar en sus actividades de procesamiento, la Compañía debe elegir un procesador de datos que proporcione suficientes medidas de seguridad y tome las medidas razonables para garantizar el cumplimiento de esas medidas, y en el caso de cualquier tercero parte dentro de los EE. UU., que también están registrados en el Escudo de privacidad UE-EE. UU., Suiza-EE. UU.

14. Contratos escritos para procesadores externos

14.1: La Compañía celebrará un contrato escrito con cada procesador de datos que le exija que cumpla con la legislación de protección de datos y los requisitos de seguridad impuestos a la Compañía según la legislación local.

15. Auditorías de procesadores de datos de terceros

15.1: Como parte del proceso de auditoría de datos internos de la Compañía, la Compañía llevará a cabo verificaciones periódicas sobre el procesamiento por parte de procesadores de datos de terceros, y en particular en relación con los procedimientos de transferencia de datos, especialmente con respecto a las medidas de seguridad.

16. Aviso a empleados y contratistas de posibles sanciones por incumplimiento

16.1: El DPO notificará a los empleados y contratistas de la Compañía que:

  • El incumplimiento de la legislación de protección de datos pertinente puede generar responsabilidad penal y civil, incluidas multas, encarcelamiento y indemnizaciones por daños; y
  • Ellos pueden ser personalmente responsables cuando la Compañía comete un delito con su consentimiento o connivencia, o si es atribuible a cualquier negligencia de su parte.
  • Prevención de que personas no autorizadas accedan a los sistemas de procesamiento de datos en los que se procesan los datos personales.
  • Impedir que las personas con derecho a utilizar un sistema de procesamiento de datos accedan a datos más allá de sus necesidades y autorizaciones.
  • Garantizar que los datos personales en el curso de la transmisión electrónica durante el transporte o durante el almacenamiento en un soporte de datos no se puedan leer, copiar, modificar o eliminar sin autorización.
  • Garantizar que los datos personales estén protegidos contra la destrucción o pérdida no deseada.
  • Garantizar que los datos recopilados para diferentes propósitos puedan y serán procesados ​​por separado.
  • Asegurarse de que los datos no se guarden más tiempo de lo estipulado en la política de retención de datos, incluso exigiendo que los datos transferidos a terceros sean devueltos o destruidos.

18. Medición del cumplimiento

18.1: El DPO establecerá un cronograma para implementar una auditoría de cumplimiento de privacidad.

19. Implementación.

19.1: Esta Política estará disponible para los empleados

19.2: Esta Política puede ser revisada en cualquier momento, pero al menos una vez al año por parte del DPO. Se proporcionará aviso de revisiones importantes a los empleados a través del sistema de cumplimiento de la empresa y a otros a través del sitio web de la empresa.