RESPONSABLE/ENCARGADO DEL TRATAMIENTO
Al tratar datos personales, RSi puede actuar como “responsable” o “encargado” del tratamiento de conformidad con el RGPD.
Un responsable del tratamiento es una organización que determina (es decir, toma decisiones sobre) cómo y por qué se tratan los datos personales. RSi será un responsable del tratamiento en relación con los datos personales de sus empleados y candidatos de contratación, pero también en relación con sus clientes (es decir, contactos comerciales individuales de clientes corporativos de RSi) cuando trata sus datos personales, por ejemplo, en cuestiones de CRM, mercadotecnia, facturación y sitio web.
Un encargado del tratamiento es una organización que actúa según las instrucciones de un responsable del tratamiento para llevar a cabo el tratamiento en su nombre. En general, RSi actuará como un encargado del tratamiento en la prestación de servicios a sus clientes, en relación con lo cual puede ser necesario que aloje, analice o transfiera datos personales de los miembros del programa de fidelización de sus clientes, consumidores, etc. RSi también utilizará sus propios encargados del tratamiento. Esto puede llevarse a cabo para tratar datos personales con respecto a los cuales RSi sea el responsable del tratamiento (por ejemplo, cuando RSi designa un procesador de nóminas externo o un proveedor de automatización de mercadotecnia). Sin embargo, también puede ser el caso cuando se tratan datos de clientes al prestarles servicios, es decir, cuando RSi subcontrata parte de un contrato de cliente con un tercero. En estas circunstancias, RSi será el encargado del tratamiento principal y el tercero será un “subencargado” del tratamiento.
Nota: Todas las relaciones entre un responsable y un encargado del tratamiento (o entre un encargado y un subencargado del tratamiento) deben regirse por un acuerdo escrito que incorpore ciertas condiciones obligatorias. Es importante destacar que esto incluye contratos de cliente en los que RSi pueda tratar datos personales de clientes. Debe ponerse en contacto con el Delegado de Protección de Datos a través de la dirección [email protected] para obtener más información y para conocer las condiciones contractuales apropiadas.
AVISO
RSi se compromete a entregar un aviso siempre que tratemos datos personales de una persona, incluso en relación con nuestros clientes, empleados y candidatos de contratación. Cuando sea posible, se proporcionará un enlace de consulta directo al aviso/política de privacidad en el momento que entreguemos el aviso y el usuario deba tomar una decisión.
Por ejemplo:
- Cuando sea posible siempre que se recopilen datos del consumidor; y
- Cuando proceda, antes de obtener el consentimiento.
FUNDAMENTOS LEGALES
Todo el tratamiento de datos personales debe basarse en un “fundamento legal” específico (en ocasiones denominado “base legal” o “condición” para el tratamiento). RSi se compromete a identificar un fundamento legal para todas sus actividades de tratamiento y a comunicarlo en sus avisos de privacidad.
Los seis motivos legales disponibles se enumeran en el artículo 6 (1) del RGPD. Estos son:
- cuando el tratamiento sea necesario para formalizar un contrato (por ejemplo, pagar el salario de un empleado de acuerdo con su contrato laboral);
- cuando sea necesario cumplir una obligación legal (por ejemplo, divulgar información del empleado a las autoridades fiscales o elaborar nuestros informes de salud y seguridad);
- si tiene un “interés legítimo” en el tratamiento y esto no perjudica los derechos e intereses de una persona (por ejemplo, hacer un seguimiento de los visitantes de los sitios web de RSi o mantener registros de nuestros clientes en nuestros sistemas de CRM);
- si ha obtenido el consentimiento del interesado (véase Sección D posterior);
- cuando sea necesario proteger la vida de una persona; o
- cuando sea necesario para llevar a cabo una tarea pública/oficial (no relevante para RSi como empresa privada).
Todo el tratamiento de categorías especiales de datos personales debe justificarse por referencia a uno de los fundamentos especiales del tratamiento, como se establece en el artículo 9 (2) del RGPD.
Si bien existen nueve motivos especiales para tratar categorías especiales de datos personales, en general, son más restrictivos y están adaptados a situaciones específicas. Algunos de los fundamentos que presentan una mayor probabilidad de que se apliquen a RSi son:
- se ha obtenido el consentimiento explícito del interesado, excepto cuando el consentimiento esté excluido por la legislación aplicable.
- O el tratamiento es necesario conforme a:
- una obligación bajo la legislación laboral;
- razones de interés público esencial (que permite diferentes actividades bajo la ley local, por ejemplo, ejercicios de supervisión de igualdad de oportunidades en ciertos países); o
- acciones judiciales u obtener asesoramiento legal.
Nota: El uso del consentimiento (ya sea normalizado según el art. 6 o explícito en virtud del art. 9) rara vez será apropiado o válido en un contexto laboral, es decir, no deberíamos buscar el consentimiento de los empleados para el tratamiento de los datos personales.
Los datos personales relacionados con condenas e infracciones penales solo pueden tratarse cuando existe una autorización expresa en virtud de la legislación de la Unión Europea o local (es decir, Estado miembro). Por lo tanto, la política de RSi es supervisar minuciosamente las situaciones en las que puedan tratarse datos de condenas e infracciones penales (por ejemplo, contratación) para garantizar el cumplimiento de la legislación aplicable.
CONSENTIMIENTO
Como uno de los fundamentos legales para el tratamiento, el consentimiento afirmativo (un acto afirmativo para significar un acuerdo) es necesario para el tratamiento de datos personales en determinadas circunstancias. Cuando sea necesario recabar el consentimiento, RSi se compromete a garantizar que el interesado pueda retirar el consentimiento en cualquier momento. El aviso y el consentimiento deben ser claros y visibles, y el interesado debe poder retirar el consentimiento tan fácilmente como lo otorgó.
RSi se esforzará en proporcionar un enlace claro a la Política de privacidad para cada oportunidad de consentimiento.
MERCADOTECNIA DIRECTA: REQUISITOS DE AVISO Y CONSENTIMIENTO
Los interesados tienen derecho a evitar la mercadotecnia directa en cualquier momento. RSi cancelará la suscripción de datos de mercadotecnia directa inmediatamente después de una solicitud. Para cada proceso de consentimiento, RSi se esforzará en proporcionar un enlace claro a la política de privacidad (que brinde la oportunidad de una revisión previa al consentimiento). RSi se esforzará para que el aviso y el consentimiento sean claros y visibles, y que sea necesario un acto afirmativo para expresar su consentimiento.
COOKIES: REQUISITOS DE AVISO Y CONSENTIMIENTO PARA TODOS LOS CANALES DIGITALES
RSi proporcionará avisos de cookies (banner) si utiliza tecnologías de seguimiento (por ejemplo, balizas web, cookies esenciales y no esenciales, etc.).
DERECHO A LA OPOSICIÓN AL TRATAMIENTO (EXCLUSIÓN)
Las personas pueden oponerse al tratamiento de datos personales en función de fundamentos de “intereses legítimos” en cualquier momento. Si se invoca, RSi seguirá sus pautas internas para cumplir las solicitudes de los interesados. Un usuario puede ejercer sus derechos a través de numerosos métodos.
DERECHO A LA SUPRESIÓN
RSi se compromete a suprimir los datos personales cuando se solicite si la solicitud cumple con el RGPD. RSi se esforzará en reconocer y procesar las solicitudes con prontitud y atender las solicitudes sin demoras indebidas.
RSi ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de los usuarios que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de RSi a través de la dirección [email protected].
DERECHO A LA LIMITACIÓN DEL TRATAMIENTO DE DATO
RSi se compromete a respetar el derecho del interesado a limitar el tratamiento en estas circunstancias:
- El interesado impugna la exactitud.
- El tratamiento es ilícito y el interesado solicita la limitación de su uso solo a usos lícitos.
- El interesado necesita la información que tenemos para la formulación, el ejercicio o la defensa de reclamaciones, pero quiere que su uso se limite de otra manera.
Si necesitamos tiempo para decidir si tenemos fundamentos legítimos para anular la solicitud de limitación de uso, entonces debemos suspender el tratamiento hasta que tomemos una determinación. RSi ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de los usuarios que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de RSi a través de la dirección [email protected]
DERECHO AL ACCESO: SOLICITUDES DE ACCESO DEL INTERESADO
RSi se asegurará de que los consumidores tengan derecho a obtener la confirmación del tratamiento que hacemos de sus datos y a acceder a sus datos personales. RSi ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar la solicitud de acceso del interesado que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de RSi a través de la dirección [email protected]
DERECHO A LA RECTIFICACIÓN
Los consumidores tienen el derecho a rectificar (corregir) los datos personales inexactos. Los consumidores tienen derecho a que se completen datos personales incompletos, incluso mediante la provisión de una declaración complementaria.
RSi ha adoptado procedimientos operativos internos sobre cómo tratar las solicitudes de rectificación que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de RSi a través de la dirección [email protected]
DERECHO A LA PORTABILIDAD DE DATOS
RSi se compromete a respetar el derecho a la portabilidad de datos de un interesado. El derecho a la portabilidad de datos solo se aplica a los Datos personales que un usuario nos ha “proporcionado”. Esto significa que:
- Datos proporcionados de manera activa y consciente por el consumidor (por ejemplo, dirección postal, nombre de usuario, edad, etc.);
- Datos observados que adquirimos en virtud del uso de nuestros servicios por parte del consumidor.
Por ejemplo, pueden incluir el historial de búsqueda de una persona, datos de tráfico y datos de ubicación. - La información proveniente de agencias de crédito no está sujeta a la portabilidad de datos.
- Cuando el tratamiento se basa en el consentimiento del usuario o para la ejecución de un contrato (véase Sección C anterior); y
- Cuando el tratamiento se lleva a cabo por medios automatizados.
RSi ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de portabilidad que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de RSi a través de la dirección [email protected]
TRANSFERENCIA DE DATOS PERSONALES AL EXTRANJERO
RSi no transferirá datos personales que se originen en el EEE fuera del EEE, a menos que (i) pueda garantizar un nivel adecuado de protección de los derechos y libertades de los interesados; o (ii) exista una derogación específica.
Las transferencias pueden no ser obvias. Por ejemplo, si un proveedor ubicado en Alemania subcontrata parte de su tratamiento a un proveedor subcontratado en India, habrá una transferencia de datos personales fuera del EEE. Esto está prohibido a menos que se cumplan ciertas condiciones. Muchos de nuestros contratos de cliente implicarán transferencias internacionales de datos, por ejemplo, cuando prestamos servicios a un cliente italiano utilizando operaciones de tratamiento con sede en Estados Unidos
En relación con las transferencias de datos personales a RSi en Estados Unidos, RSi puede confiar en su certificación de escudo de privacidad para garantizar un nivel adecuado de protección a los interesados del EEE.
i los datos personales van a transferirse a otro país fuera del EEE, consulte con el Delegado de Protección de Datos de RSi a través de la dirección [email protected] quien le aconsejará sobre las salvaguardas aplicables. Esto podría incluir términos contractuales especiales (las “cláusulas contractuales tipo”) o una derogación específica del contexto (por ejemplo, una transferencia necesaria en relación con reclamaciones).
EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS
Si un nuevo proyecto o modo de trabajo, o un cambio propuesto a un proyecto o modo de trabajo existentes, implicara un tratamiento intensivo o de mayor riesgo de datos personales o de categorías especiales de datos, RSi llevará a cabo una evaluación de impacto de protección de datos.
Una evaluación de impacto de protección de datos es importante para identificar y mitigar los riesgos de privacidad antes de que se inicie un proyecto, y para aplicar los principios de “privacidad por diseño”, donde los proyectos se construyen teniendo en cuenta el cumplimiento de la privacidad. Esto puede ahorrar tiempo y recursos al evitar la intervención en un momento posterior. Consulte al Delegado de Protección de Datos de RSi para obtener más información.
TOMA DE DECISIONES AUTOMATIZADAS
Se aplican ciertas restricciones a la toma de decisiones importantes sobre personas basadas enteramente en procesos automatizados, es decir, sin intervención humana. Un ejemplo podría ser que los candidatos de contratación se excluyan automáticamente si no cumplen ciertos criterios o no superan una prueba psicométrica. En estas circunstancias, es posible que tengamos que (i) proporcionar un aviso a los interesados informándoles de que tienen derecho a impugnar la decisión automatizada y requerir la intervención humana; o (ii) agregar la intervención humana en el proceso para evitar la toma de decisiones automatizada. Consulte al Delegado de Protección de Datos de RSi para obtener más información.
POLÍTICA DE PRIVACIDAD
RSi se compromete a proporcionar acceso a esta Política de privacidad a los usuarios cuyos Datos personales se tratarán. RSi se reserva el derecho a modificar y actualizar esta Política de privacidad en cualquier momento.
Anexo A – Definiciones del RGPD
Término clave | Definición |
---|
DATOS PERSONALES | Cualquier información relacionada con una persona física identificada o identificable en la Unión Europea, incluidos datos vinculados y/o datos enlazables y cualquier combinación de estos. Estos datos vinculados o enlazables a un alias, identificador de dispositivo o cualquier identificador similar que distingue a un usuario. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante (1) un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea o (2) uno o varios elementos propios de la identidad física, psicológica, genética, psíquica, económica, cultural o social de dicha persona. Importante: los datos identificables aumentan el riesgo de tratamiento. La supresión de información personal identificable de un conjunto de datos podría excluirlos del ámbito de aplicación. Por ejemplo, los datos en el punto de venta se encuentran fuera de él. Nota: RSi considera que los números de tarjetas de fidelidad convertidos en token, cifrados con hash o encriptados son Datos personales seudonimizados cubiertos por el RGPD. |
CATEGORÍAS ESPECIALES DE DATOS | Datos personales que revelan origen racial o étnico, creencia religiosa o filosófica o afiliación sindical, datos genéticos y datos biométricos utilizados para identificar de manera única a una persona, datos de salud, información relacionada con la vida sexual u orientación sexual de una persona. |
TRATAMIENTO | El término Tratamiento es muy amplio. Se refiere, básicamente, a cualquier acción que se lleve a cabo sobre datos personales o con ellos (por ejemplo, su mera recogida, su almacenamiento y su supresión). Es posible que el RGPD resulte de aplicación siempre que RSi lleve a cabo cualquier actuación que tenga que ver con Datos personales o los afecte. |
RESPONSABLE DEL TRATAMIENTO | IRI será el Responsable del tratamiento cuando RSi determine el tipo de Datos personales que se recogen, controle cómo tratarlos y determine su uso. Por ejemplo, RSi será el Responsable del tratamiento cuando trate Datos personales de interesados que sean miembros de un panel o un estudio de RSi que RSi gestione directamente en su propio beneficio, cuando tratemos Datos personales recogidos de un sitio web público de RSi, cuando participemos en actividades de mercadotecnia en beneficio de RSi y en la explotación de nuestro negocio (datos de recursos humanos). |
ENCARGADO DEL TRATAMIENTO | RSi será el Encargado del tratamiento cuando RSi preste servicios de tratamiento de datos a un Responsable del tratamiento (en general, servicios relacionados con tarjetas de fidelidad de RSi, gestión de relaciones con clientes y comercialización por cuenta de un cliente o en beneficio de este) e RSi carezca de control último sobre los Datos personales que se recogen y cómo se utilizan. Cuando RSi sea un Encargado del tratamiento, trata los datos en nombre del cliente y no tiene derecho a tratar los datos más allá de las instrucciones del cliente. Por ejemplo, RSi será el Encargado del tratamiento cuando trate Datos personales de consumidores que sean miembros de un panel o un estudio de RSi que RSi realice en nombre de un cliente, cuando tratemos números de tarjetas de fidelidad encriptados para un cliente o cuando participemos en actividades de mercadotecnia directa para un cliente como parte de un contrato de cliente. |
DERECHOS DE LOS INTERESADOS | El conjunto de derechos otorgados a las personas en ciertas jurisdicciones para solicitar información sobre los Datos personales recopilados o almacenados por RSi y para poder elegir o controlar cómo RSi usa esos datos. Estos derechos pueden incluir:- El derecho a obtener información sobre las actividades de tratamiento de datos que suceden en RSi
- El derecho a obtener una copia de todos los datos almacenados o tratados por RSi
- El derecho a que los Datos personales sean purgados, corregidos o portados
- El derecho a limitar o bloquear el tratamiento
- El derecho a retirar libremente el consentimiento
|
Personal | Todos los empleados, contratistas, otros compañeros y personal temporal de RSi. |